Hakerzy powiązani z Rosją starają się uzyskać dostęp do urządzeń np. przedstawicieli władz państwowych i wojskowych państw NATO. Zależy im na kradzieży cennych danych. W jaki sposób działają?
Zespół specjalistów TAG (Threat Analysis Group) Google od lat zajmuje się analizowaniem działań grupy Cold River powiązanej z Rosją. Eksperci opublikowali informacje na temat swojego nowego odkrycia dotyczącego aktywności hakerów.
Czytaj też
Ataki na Ukrainę i NATO
Przypomnijmy, że mówimy o grupie, która – zdaniem zespołu TAG – skupia się na kampaniach phishingowych. Ich celem są podmioty na Ukrainie oraz w krajach NATO. Mowa o np. instytucjach rządowych, ośrodkach naukowych czy przedstawicielach władz państwowych lub wojska.
Atakującym zależy na np. pozyskaniu cennych danych. Podszywają się pod konta godne zaufania, aby zwiększyć skuteczność działań. Możemy tu wymienić m.in. ekspertów lub naukowców z danej dziedziny, bądź osoby powiązane z ofiarą.
Czytaj też
Zhakowanie skrzynki szpiega
Jednym z głośniejszych przykładów działań Cold River było zhakowanie skrzynki topowego szpiega Wielkiej Brytanii – Richarda Dearlove. W naszym #CyberMagazynie przedstawialiśmy wspomnianą kampanię jako największy sukces tego ugrupowania. Szczegóły znajdziecie pod linkiem.
Czytaj też
Zaczęło się od PDF-a
W analizie zespołu TAG zwrócono uwagę na nową kampanię, w ramach której atakujący do infekcji celu wykorzystywali plik PDF jako wabik. Zwykle próba otwarcia pliku kończyła się niepowodzeniem. Odbiorca odnosił wrażenie, że jest zaszyfrowany. To miało skłonić go do nawiązania kontaktu z nadawcą, który w odpowiedzi udostępniał rzekome „narzędzie deszyfrujące”.
Czytaj też
Backdoor SPICA
W praktyce był to backdoor SPICA, dzięki któremu hakerzy Cold River zyskiwali dostęp do urządzenia ofiary.
SPICA to pierwsze niestandardowe złośliwe oprogramowanie opracowane i użyte przez Cold River.
Zespołu TAG Google
Backdoor mógł być w użyciu już od września 2023 r., choć możliwa jest nawet data listopad 2022 r. Zdaniem specjalistów, prawdopodobnie istnieje wiele jego wersji i każda jest związana z innym dokumentem-wabikiem.
Specjaliści wskazują na ciągłą ewolucję taktyk, technik i procedur hakerów. Ma to im zapewnić większe bezpieczeństwo (minimalizując ryzyko bycia wykrytym) oraz skuteczność działań.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].