Cyberbezpieczeństwo

Precyzyjne cyberataki na Ukrainę. „Kradzież strategicznych informacji”

haker
Fot. Sora Shimazaki/Pexels

Jedna z grup powiązana z Rosją atakuje ukraińskie podmioty od początku inwazji w celu kradzieży informacji o strategicznym znaczeniu – wynika z analizy specjalistów Mandiant. Ofiary nie są przypadkowe.

Specjaliści Mandiant we wrześniu 2022 r. wykryli wrogą aktywność powiązanej z Rosją grupy Turla (estońskie władze powiązały ją z FSB), która polegała na dystrybucji złośliwego oprogramowania KOPILUWAK i backdoora QUIETCANARY. Celem były ukraińskie podmioty zainfekowane wcześniej wirusem ANDROMEDA (np. grudzień 2021 r. – infekcja jednej z ukraińskich organizacji za pomocą pen drive'a).

Czytaj też

Rekonesans

W raporcie ekspertów wskazano, że kampania rozpoczęła się 6 września od infekcji urządzeń ofiar oprogramowaniem KOPILUWAK. To narzędzie przeznaczone do rozpoznania, bazujące na języku JavaScript. Służy do np. profilowania celu i zwykle jest zamieszczane jako załącznik w e-mailu w pierwszym etapie cyberataku. 

W opisywanej operacji KOPILUWAK również posłużył do „profilowania >>pierwszego etapu<<”. Za jego pomocą atakujący przeprowadzili „rekonesans” sieci ofiary

Czytaj też

Kradzież danych

Dwa dni później (tj. 8 września) hakerzy pobrali QUIETCANARY. To backdoor, który jest wykorzystywany przez Turlę do gromadzenia i eksfiltracji danych

W omawianym przypadku – zdaniem Mandiant – atakujący wykradali najprawdopodobniej jedynie pliki utworzone po 1 stycznia 2021 r. 

Czytaj też

Informacje o strategicznym znaczeniu

„To pierwsza analiza Mandiant pokazująca, że Turla atakuje ukraińskie podmioty od początku inwazji” – czytamy w raporcie. Opisywana kampania wydaje się być zgodna z działaniami grupy, zwłaszcza jeśli chodzi o planowanie i rekonesans w celu uzyskania dostępu do systemów ofiar. 

„W tym przypadku obszerne profilowanie od stycznia prawdopodobnie pozwoliło grupie wybrać konkretne systemy i dostosować swoje dalsze działania, których celem jest gromadzenie i kradzież informacji o strategicznym znaczeniu” – wskazują specjaliści w raporcie.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu.Piszcie do nas na: [email protected]

Komentarze

    Czytaj także