Reklama

Cyberbezpieczeństwo

klawiatura

Rosyjscy hakerzy szpiegują Ukrainę i NATO. Używają backdoora

Hakerzy powiązani z Rosją starają się uzyskać dostęp do urządzeń np. przedstawicieli władz państwowych i wojskowych państw NATO. Zależy im na kradzieży cennych danych. W jaki sposób działają?

Zespół specjalistów TAG (Threat Analysis GroupGoogle od lat zajmuje się analizowaniem działań grupy Cold River powiązanej z Rosją. Eksperci opublikowali informacje na temat swojego nowego odkrycia dotyczącego aktywności hakerów.

Czytaj też

Ataki na Ukrainę i NATO

Przypomnijmy, że mówimy o grupie, która – zdaniem zespołu TAG – skupia się na kampaniach phishingowych. Ich celem są podmioty na Ukrainie oraz w krajach NATO. Mowa o np. instytucjach rządowych, ośrodkach naukowych czy przedstawicielach władz państwowych lub wojska. 

Atakującym zależy na np. pozyskaniu cennych danych. Podszywają się pod konta godne zaufania, aby zwiększyć skuteczność działań. Możemy tu wymienić m.in. ekspertów lub naukowców z danej dziedziny, bądź osoby powiązane z ofiarą. 

Czytaj też

Zhakowanie skrzynki szpiega

Jednym z głośniejszych przykładów działań Cold River było zhakowanie skrzynki topowego szpiega Wielkiej Brytanii – Richarda Dearlove. W naszym #CyberMagazynie przedstawialiśmy wspomnianą kampanię jako największy sukces tego ugrupowania. Szczegóły znajdziecie pod linkiem.

Czytaj też

Zaczęło się od PDF-a

W analizie zespołu TAG zwrócono uwagę na nową kampanię, w ramach której atakujący do infekcji celu wykorzystywali plik PDF jako wabik. Zwykle próba otwarcia pliku kończyła się niepowodzeniem. Odbiorca odnosił wrażenie, że jest zaszyfrowany. To miało skłonić go do nawiązania kontaktu z nadawcą, który w odpowiedzi udostępniał rzekome „narzędzie deszyfrujące”. 

Czytaj też

Backdoor SPICA

W praktyce był to backdoor SPICA, dzięki któremu hakerzy Cold River zyskiwali dostęp do urządzenia ofiary

SPICA to pierwsze niestandardowe złośliwe oprogramowanie opracowane i użyte przez Cold River.
Zespołu TAG Google

Backdoor mógł być w użyciu już od września 2023 r., choć możliwa jest nawet data listopad 2022 r. Zdaniem specjalistów, prawdopodobnie istnieje wiele jego wersji i każda jest związana z innym dokumentem-wabikiem. 

Specjaliści wskazują na ciągłą ewolucję taktyk, technik i procedur hakerów. Ma to im zapewnić większe bezpieczeństwo (minimalizując ryzyko bycia wykrytym) oraz skuteczność działań.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama
Reklama

Komentarze

    Reklama