Próba zhakowania Wojska Polskiego i rządu. Białoruski ślad

Z najnowszego raportu Cisco Talos wynika, że dobrze znana w Polsce grupa UNC1151 (znana też jako GhostWriter za sprawą operacji pod tą samą nazwą i łączona przede wszystkim z wyciekiem maili ze skrzynek rządowych) wciąż ma na celowniku Polskę i Ukrainę.

Ich operacje mają najprawdopodobniej na celu kradzież informacji i uzyskanie trwałego zdalnego dostępu do urządzeń ofiar – napisali eksperci w swoim opracowaniu.

Hakerzy, mający być powiązani z białoruskim rządem (z inspiracji GRU), zaczęli prowadzić złośliwą działalność wobec obu państw już w kwietniu 2022 roku, ale zaobserwowano ją także na początku lipca tego roku, co świadczy o „uporczywym charakterze ich działań”.

To część operacji Ghostwriter (opisywanej bardzo dobrze na naszych łamach między innymi w tym materiale). Lipcową odsłonę kampanii grupie UNC1151 przypisał ukraiński zespół reagowania na incydenty komputerowe (CERT-UA). Do ataków hakerzy wykorzystywali zainfekowane dokumenty Microsoft Office, najczęściej formaty plików typu Microsoft Excel i PowerPoint. W ramach ataków używali m.in. trojana zdalnego dostępu AgentTesla (RAT), Cobalt Strike i njRAT.

Na celowniku polski rząd, wojsko, cywile

Po raz pierwszy kampania została namierzona pod koniec kwietnia 2022 roku i była kierowana do użytkowników w Ukrainie poprzez szkodliwe pliki Microsoft Excel. Zainfekowane pliki celowały także w użytkowników w Polsce – czytamy w analizie.

Celem były polskie i ukraińskie rządy oraz wojsko, a przynętą miały być pozornie oficjalne dokumenty w Excelu i PowerPoint. Hakerzy wykorzystali wieloetapowy łańcuch infekcji, najpierw wysyłając zainfekowane załączniki Microsoft Office w wiadomości mailowej. Kolejne pliki imitowały dokumenty, rzekomo wysłane przez Ministerstwo Obrony Narodowej RP, Ministerstwo Obrony Narodowej Ukrainy czy ukraińską Służbę Skarbu Państwa.

Fałszywe dokumenty

Grupa APT powróciła z nową kampanią na początku lipca – przynętę ma stanowić formularz – instrukcja płatności, rzekomo wysłana z ukraińskiej Państwowej Służby Skarbu i kierowana do ukraińskich podmiotów rządowych.

Co istotne, atakowane są także polskie i ukraińskie firmy oraz zwykli użytkownicy, którzy otrzymują fałszywe arkusze z programu Excel, podszywające się np. pod formularze zwrotu podatku VAT. Zostały one wcześniej zainfekowane.

Działania hakerów w ramach operacji GhostWriter do tej pory charakteryzowały się m.in. kampaniami phishingowymi, hakowaniem kont mailowych, kradzieżą danych logowania czy rozpowszechnianiem złośliwego oprogramowania. Ich celem były: zarówno rząd, jak i wojsko oraz cywile – w Polsce i Ukrainie.

Niemal równo rok temu pisaliśmy o tym, że grupa UNC1151/Ghostwriter od ponad roku atakuje skrzynki pocztowe Polaków, o czym informował CERT Polska. Kampania celowała w konta użytkowników WP, Interii, O2, Onetu oraz Gmaila (Google).

Szczegóły techniczne trwającej kampanii są dostępne pod linkiem .

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].