Rosja ofiarą własnych metod

O niebezpieczeństwie, jakie stanowią wspierane przez Moskwę grupy, cały czas jest głośno w przestrzeni publicznej. Zbliżające się wybory prezydenckie mają być idealną okazją do działań rosyjskich hakerów. Jak opisywaliśmy na łamach CyberDefence24, w swoim komunikacie z 17 stycznia br. wicepremier i minister cyfryzacji Krzysztof Gawkowski zadeklarował, że podejmowane są stosowne wysiłki na rzecz zabezpieczenia kampanii przed cyberzagrożeniami.

Z drugiej strony, nie tylko instytucje publiczne oraz podmioty prywatne powinny być zaangażowane w tym kontekście. Ostatnią linią obrony jest człowiek bez względu na status i pozycję. To z kolei wymaga od nas świadomości ryzyka i podwyższonej czujności.

Hakerskie metody działające w dwie strony

Okazuje się jednak, że metody działania rosyjskich cyberprzestępców mogą zostać wykorzystane przeciwko państwu, dla którego „świadczą” swoje „usługi”. Jak opisuje The Record, podmioty ze wschodu zaczęły otrzymywać maile z rzekomo interesującymi lub ważnymi załącznikami. Ich otwarcie kończyło się przejęciem kontroli nad komputerem przez atakującego.

Szczegóły całego schematu wyglądały jednak znajomo. Potencjalna ofiara otrzymywała wiadomość e-mail, do której dołączone było archiwum z trzema plikami w środku. Jednym z nich był dokument-przynęta dotyczący rosyjskich placówek na terytorium Ukrainy, do którego otwarcia potrzebne było jednak uruchomienie archiwizatora plików 7-Zip (7zSFX). 

Haczyk polegał na tym, że w archiwum znajdował się jeszcze skrypt instalujący narzędzie zdalnej kontroli nad urządzeniem, UltraVNC, uruchamiany wraz z exe 7zSFX. Chińska organizacja Knownsec, która przedstawiła problem ataków, wskazała, że jego działanie zostało ukryte poprzez nazwanie procesu identycznie jak inna systemowa funkcja, „OneDrivers.exe”.

Naśladują Rosjan, aby atakować Moskwę

Chińczycy zawęzili prawdopodobnych sprawców do dwóch podmiotów. Pierwszym jest rosyjski aktor Gamaredon, który jest powiązany z FSB. Jego ataki są jednak wymierzone w podmioty ukraińskie i wykorzystują przynęty w tamtejszym języku. 

Analogicznie działa również podmiot nazwany GamaCopy, który z kolei podejmuje działania przeciwko Rosjanom. Przypisanie mu tej konkretnej operacji jest możliwe także dzięki wykorzystaniu tego samego portu (443), co w jednym ze wcześniejszych ataków. Same dokumenty wykorzystywane w działaniach są w języku rosyjskim. 

„Organizacja ta często naśladowała TTP stosowane przez organizację Gamaredon i sprytnie wykorzystywała narzędzia open source jako osłonę do osiągnięcia własnych celów, jednocześnie dezorientując opinię publiczną” – czytamy w stanowisku Knownsec.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].