Cyberbezpieczeństwo
Rosyjscy hakerzy atakują. Ostrzeżenie przed kampaniami phishingowymi
Autor. Donny Jiang / Unsplash/ Domena publiczna
Eksperci z zespołu ds. analizy zagrożeń w Google (TAG) ostrzegają przed hakerami powiązanymi z rosyjskim wywiadem, którzy przeprowadzają kampanie phishingowe na dużą skalę, wymierzone w użytkowników w Ukrainie. Ich celem jest zdobycie danych wywiadowych i wpływ na publiczny odbiór wojny.
Zespół Google TAG (Threat Analysis Group) od początku trwania rosyjskiej inwazji na Ukrainę raportuje działalność rosyjskich grup. O ich wnioskach z roku wojny, która toczy się w cybeprzestrzeni pisaliśmy także między innymi w tym materiale.
Teraz ostrzegają przed działalnością rosyjskiego aktora FROZENLAKE – grupa ta ma koncentrować się na atakach na użytkowników poczty elektronicznej z Europy Wschodniej. Sponsorowana przez państwo grupa jest znana również jako APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit i Sofacy – przypomina serwis Hacker News. Działa od co najmniej 2009 roku i atakowała media, rządy, podmioty wojskowe z róznych państw, a jej głównym celem było szpiegostwo.
Zintensyfikowane ataki w ich wykonaniu mają trwać od lutego tego roku i skupiać się na ukraińskich stronach rządowych, by następnie przekierować użytkowników na domeny wyłudzające dane uwierzytelniające.
Czytaj też
Grupy powiązane z rosyjskim wywiadem
Jednak grupa FROZENLAKE nie jest jedyną, działającą na szkodę Ukrainy w czasie wojny. Innym aktorem charakteryzującym się złośliwą działalnością w sieci jest FROZENBARENTS (znany także pod nazwą Sandworm, Seashell Blizzard lub Voodoo Bear). Zajmuje się ona tworzeniem między innymi fikcyjnych kont na YouTube, Telegramie czy Instagramie, by szerzyć prorosyjską narrację, wykradać dane, kompromitować wybrane organizacje oraz atakować przy pomocy DDoS (atak typu odmowa usługi - red.).
Serwis przypomina, że obie te grupy zostały powiązane z rosyjskim wywiadem GRU, a co więcej – druga ze wspomnianych - określana jest jako „najbardziej wszechstronny cyberaktor GRU”. Od grudnia 2022 roku ze szczególną intensywnością atakuje ukraińskie wojsko, przemysł obronny, ale i właśnie użytkowników ukraińskiej poczty mailowej.
Czytaj też
Ostrzeżenie przed hakerami z Ghostwriter
Trzecim aktorem, na który zwraca uwagę zespół Google TAG i przed którym ostrzega jest Ghostwriter lub UNC1151, czyli grupa wspierana przez białoruski rząd, działająca w imieniu Rosji, prowadząca ukierunkowane ataki phishingowe.
To ona naszym zdaniem zasługuje na szczególną uwagę z tego względu, że na cel obrała sobie także Polskę i Polaków. Jak pisaliśmy w środę na łamach CyberDefence24.pl, to właśnie białoruscy hakerzy stali za najnowszą kampanią dezinformacyjną wymierzoną w naszych rodaków. Za pomocą maili i SMS-ów rozsyłano fałszywe komunikaty w sprawie rzekomego powoływania do Litewsko-Polsko-Ukraińskiej Brygady. O operacji pisaliśmy między innymi w tym materiale.
To również ta sama grupa, która według firmy Mandiant ma odpowiadać za hakowanie skrzynek polskich polityków.
Czytaj też
Zespół cyberspecjalistów Google zwraca też uwagę na ataki przeprowadzane przez grupę stojącą za ransomware Cuba, która łączy je z wykradaniem danych wywiadowczych z ukraińskich sieci rządowych oraz wojskowych.
Wskazane wyżej grupy mają nie kierować się – jak w tradycyjnym podejściu – korzyściami finansowymi, więc pole ich działalności może być znacznie szersze, zatem także trudniejsze do przewidzenia.
Czytaj też
/NB
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
