Rosja szpieguje niemieckich polityków

Specjaliści Mandiant pod koniec lutego br. wykryli kampanię prowadzoną przez grupę Cozy Bear (APT29), która jest powiązana z rosyjską Służbą Wywiadu Zagranicznego (SWR). Wrogie działania były wymierzone przeciwko partiom politycznym w Niemczech.

Zaproszenie od CDU

W raporcie czytamy, że hakerzy wykorzystali nowy wariant backdoora znanego jako WINELOADER. Na samym początku rozsyłali maile phishingowe w języku niemieckim, które miały być rzekomym zaproszeniem na wydarzenie odbywające się 1 marca br. Wiadomość zawierała logo Unii Chrześcijańsko-Demokratycznej (CDU), czyli jednej z wiodących niemieckich partii politycznych.

W treści znajdował się link. Jego kliknięcie powodowało pobranie na urządzenie pliku ZIP z dropperem ROOTSAW. „ROOTSAW niezmiennie jest głównym narzędziem APT29 w zakresie uzyskania wstępnego dostępu” – wskazują specjaliści Mandiant.

Rosyjski wywiad w akcji

Analiza kampanii wykazała, że mamy do czynienia z niecodziennym działaniem Cozy Bear. Eksperci zwracają uwagę, że do tej pory hakerzy skupiali się na rządach i placówkach dyplomatycznych. 

Teraz celem stały się również partie polityczne, co pokazuje, że SWR jest zainteresowane pozyskiwaniem informacji na temat środowiska politycznego w Niemczach, aby Kreml mógł je wykorzystać do budowy swojej pozycji geopolitycznej. 

Pytanie jednak, czy działania APT29 w ramach omawianej kampanii ograniczają się tylko do Niemiec?

Ostrzeżenie przed Rosją

Według Mandiant, mało prawdopodobne jest, że wysiłki grupy ograniczają się tylko do naszych zachodnich sąsiadów. Inne państwa i ich ugrupowania polityczne mogły już być lub będą celem operacji szpiegowskich realizowanych przez hakerów SWR. 

To nic dziwnego. Sięgając po grupy takie jak Cozy Bear, Moskwa chce pozyskać informacje i dzięki temu lepiej zrozumieć zmieniające się podejście Zachodu do Ukrainy oraz innych palących problemów na arenie międzynarodowej.