Rosja chce utrzymać wpływy w cennym regionie

Pod koniec listopada Władimir Putin odbył 2-dniową wizytę w Kazachstanie. Wśród tematów znalazła się kwestia współpracy z lokalnymi władzami na rzecz realizacji projektów energetycznych. Omówiono także możliwości przeciwdziałania wpływom Chin i Zachodu. 

Z Kremla docierały głosy, że prezydent Rosji odwiedza „prawdziwego sojusznika”. Odkrycie badaczy zespołu Sekoia pokazuje, że Moskwa wykorzystuje tematy związane z polityką Astany w celu pozyskiwania cennych informacji. Najlepiej z bezpośredniego źródła.

Wysiłki szpiegowskie Rosji

Eksperci zbadali wysiłki szpiegowskie prowadzone w cyberprzestrzeni. Ich zdaniem prawdopodobnie stoi za nimi UAC-0063 (aktywna co najmniej od 2021 r.), którą wiąże się z grupą APT28 (Fancy Bear, ma być jedną z macek GRU). Specjaliści zostali zainspirowani ustaleniami ukraińskiego CERT-UA.

Ważne regiony i branże

Celem hakerów jest gromadzenie informacji wywiadowczych. Działania ukierunkowują w szczególności na sektory o strategicznym znaczeniu jak m.in. obronność, energetyka czy podmioty państwowe. Obszar zainteresowania obejmuje przede wszystkim Ukrainę, Azję Środkową i Europę Wschodnią. 

Rosyjska gra o Kazachstan

W przypadku Kazachstanu, atakujący rozsyłali wiadomości mailowe na skrzynki podmiotów publicznych z krajów Azji Środkowej, aby poznać szczegóły relacji między nimi a Astaną.

Celem kampanii jest prawdopodobnie gromadzenie strategicznych informacji o znaczeniu wywiadowczym na temat stosunków Kazachstanu z krajami Azji Zachodniej i Środkowej, w celu zachowania wpływów Rosji w tym regionie.Badacze Sekoia

Zdaniem specjalistów Kreml chce, aby Astana prezentowała stanowisko prorosyjskie. W związku z tym Moskwa podejmuje działania na rzecz przeciwdziałania zewnętrznym wpływom i tym samym zabezpieczenia swojej pozycji. 

Hakerzy wykorzystali dokumenty MSZ

Wabikiem były dokumenty rządowe, jak np. listy dyplomatyczne (m.in. z Ambasady Kazachstanu w Afganistanie), oświadczenia (w tym dotyczące projektu z udziałem Niemiec, Kazachstanu i przywódców Azji Środkowej) czy notatki administracyjne (m.in. tamtejszego resortu spraw zagranicznych z 2021 r. ostrzegającej przed cyberprzegostwem).

Co ważne, badacze Sekoia wskazują, że wspomniane przynęty nie zostały sfałszowane i faktycznie były wydane przez resort spraw zagranicznych Kazachstanu. Część z nich atakujący mogli pozyskać z oficjalnych źródeł (np. rządowych stron internetowych), podczas gdy inne wykraść w ramach cyberoperacji.

Wyjątek stanowi dokument zawierający rzekomo list resortu obrony Republiki Kirgiska o współpracy wojskowej z krajami Azji Środkowej. 

Narzędzia hakerów

W praktyce wabiki służą atakującym do infekowania urządzeń ofiar złośliwym oprogramowaniem Hatvibe i Cherryspy, które wcześniej opisywał CERT-UA.

Przypomnijmy, że pierwsze złośliwe oprogramowanie pozwala pobierać i otwierać inne pliki na zainfekowanym sprzęcie. Z kolei Cherryspy to backdoor umożliwiający atakującym zdalne wykonanie kodu Pythona.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].