Rosja walczy nie tylko w Ukrainie. Włamania na polskie skrzynki i aplikacja od FSB

Billy Leonard z Threat Analysis Group (Grupy Analizy Zagrożeń) Google podkreśla, że koncern nieustannie monitoruje cyberprzestrzeń w Europie Wschodniej w związku z wojną w Ukrainie. 

Jak wskazuje, Rosja koncentruje swoje zdolności i zasoby przede wszystkim na naszym wschodnim sąsiedzie. Prowadzone są regularne cyberataki (ze strony podmiotów państwowych, jak i prokremlowskich grup hakerskich lub haktywistycznych) oraz kampanie dezinformacyjne.  

W pozostałych krajach rosyjska cyberaktywność pozostaje w dużej mierze na podobnym, stałym poziomie. 

Włamań ciąg dalszy

W najnowszym raporcie Billy Leonard zaznacza, że kampania Ghostwriter pozostaje aktywna w Polsce. Według ekspertów Google'a wrogie działania prowadzi UNC1151, czyli grupa powiązana z Białorusią. Jej członkowie mają współpracować z Rosją. 

Specjalista mówi wprost: grupa nadal atakuje konta poczty elektronicznej i mediów społecznościowych polskich użytkowników. W trakcie operacji sprawcy wykorzystują phishing. Przykład jednej z technik znajduje się na poniższej grafice. 

  #READ[ articles: 1009015 | showThumbnails: true ]

Aplikacja rosyjskiego FSB

Ponadto, Billy Leonard zwraca uwagę na aktywność grupy Turla, która publicznie jest przypisywana FSB (Federalna Służba Bezpieczeństwa Rosji). 

W ostatnim czasie jej przedstawiciele hostowali aplikację „CyberAzov” na Androida, w ramach domeny podszywającej się pod ukraiński Pułk Azowski. 

„To pierwszy znany przypadek, kiedy to Turla rozpowszechnia złośliwe oprogramowanie związane z Androidem” – zaznacza ekspert TAG Google. 

Appka nie była „oferowana” w Google Play, lecz za pośrednictwem witryn kontrolowanych przez rosyjską grupę. Aby zwiększyć zasięg, rozpowszechniano specjalne linki w ramach komunikatorów różnych firm. 

Specjalista Google'a tłumaczy, że aplikacja przedstawiana jest jako narzędzie do przeprowadzania cyberataków typu DoS (Denial of Service) na rosyjskie strony internetowe.  

Jak podkreśla, wroga działalność Turli nie miała większego wpływu na użytkowników Androida. Liczba instalacji złośliwych appek była znikoma. 

GRU korzysta z luki

Zespół TAG Google odkrył także, że luka „Follina” (ujawniona pod koniec maja br.) była szeroko wykorzystywana przez grupy trwałego zagrożenia oraz cyberprzestępców. Podatność pozwala na zdalne wykonywanie kodu w ramach narzędzia Microsoft Windows Support Diagnostic Tool (MSDT).

Eksperci zaobserwowali, że podmioty powiązane z rosyjskim wywiadem wojskowym GRU – APT28 i Sandworm – prowadzą kampanie bazujące na wspomnianej podatności.

Przykładem może być operacja Sandworm, w ramach której wykorzystano przejęte konta rządowe do rozsyłania linków do dokumentów Microsoft Office, hostowanych na domenach będących pod kontrolą grupy. Celem były przede wszystkim ukraińskie media.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].