Cyberbezpieczeństwo
Precyzyjne cyberataki na Ukrainę. „Kradzież strategicznych informacji”
Jedna z grup powiązana z Rosją atakuje ukraińskie podmioty od początku inwazji w celu kradzieży informacji o strategicznym znaczeniu – wynika z analizy specjalistów Mandiant. Ofiary nie są przypadkowe.
Specjaliści Mandiant we wrześniu 2022 r. wykryli wrogą aktywność powiązanej z Rosją grupy Turla (estońskie władze powiązały ją z FSB), która polegała na dystrybucji złośliwego oprogramowania KOPILUWAK i backdoora QUIETCANARY. Celem były ukraińskie podmioty zainfekowane wcześniej wirusem ANDROMEDA (np. grudzień 2021 r. – infekcja jednej z ukraińskich organizacji za pomocą pen drive'a).
Czytaj też
Rekonesans
W raporcie ekspertów wskazano, że kampania rozpoczęła się 6 września od infekcji urządzeń ofiar oprogramowaniem KOPILUWAK. To narzędzie przeznaczone do rozpoznania, bazujące na języku JavaScript. Służy do np. profilowania celu i zwykle jest zamieszczane jako załącznik w e-mailu w pierwszym etapie cyberataku.
W opisywanej operacji KOPILUWAK również posłużył do „profilowania >>pierwszego etapu<<”. Za jego pomocą atakujący przeprowadzili „rekonesans” sieci ofiary.
Czytaj też
Kradzież danych
Dwa dni później (tj. 8 września) hakerzy pobrali QUIETCANARY. To backdoor, który jest wykorzystywany przez Turlę do gromadzenia i eksfiltracji danych.
W omawianym przypadku – zdaniem Mandiant – atakujący wykradali najprawdopodobniej jedynie pliki utworzone po 1 stycznia 2021 r.
Czytaj też
Informacje o strategicznym znaczeniu
„To pierwsza analiza Mandiant pokazująca, że Turla atakuje ukraińskie podmioty od początku inwazji” – czytamy w raporcie. Opisywana kampania wydaje się być zgodna z działaniami grupy, zwłaszcza jeśli chodzi o planowanie i rekonesans w celu uzyskania dostępu do systemów ofiar.
„W tym przypadku obszerne profilowanie od stycznia prawdopodobnie pozwoliło grupie wybrać konkretne systemy i dostosować swoje dalsze działania, których celem jest gromadzenie i kradzież informacji o strategicznym znaczeniu” – wskazują specjaliści w raporcie.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu.Piszcie do nas na: [email protected].