Szczyt NATO w Wilnie. Sojusznicy Ukrainy na celowniku cyberprzestępców

Analiza zespołu BlackBerry Threat Research and Intelligence wykazała, że - w związku ze szczytem NATO w Wilnie, który odbywa się 11-12 lipca -rozysłane są fałszywe dokumenty - jako przynęta - do organizacji wspierających Ukrainę lub do gości szczytu.

Fałszywe dokumenty mają rzekomo lobbować za przystąpieniem Ukrainy do NATO, co ma być jednym z tematów dyskusji w stolicy Litwy.

Zdaniem ekspertów cyberbezpieczeństwa, za tą operacją prawdopodobnie stoi ugrupowanie cyberprzestępcze znane jako RomCom. „Jednym z tematów w porządku obrad jest Ukraina i jej możliwe przyszłe członkostwo w NATO. (...) Korzystając z tego wydarzenia i prośby Ukrainy o przystąpienie do NATO, cyberprzestępcy stworzyli i rozpowszechnili szkodliwy dokument, podszywający się pod organizację Światowego Kongresu Ukraińców, aby prawdopodobnie rozesłać go wśród zwolenników Ukrainy” – napisał zespół.

Metoda cyberprzestępców

Cyberprzestępcy stosują metodę spear-phishingu, by nakłonić wybrane przez siebie cele do kliknięcia w link, prowadzący do fałszywej strony internetowej, która naśladuje witrynę ukrainianworldcongress.org, ale w fałszywym adresie dodano „.info”, zamiast „.org”.

Ten, kto kliknie w link, stanie się celem ataku, który wykorzystuje złośliwe oprogramowanie, pozwalające na uzyskanie danych z zainfekowanego komputera. Kampania wykorzystuje lukę zero-day Microsoft CVE-2022-30190, wykrytą w maju 2022 roku – wskazuje serwis Cybernews . Umożliwia to przeprowadzenie zdalnego ataku, opartego na wykonaniu kodu poprzez spreparowanie złośliwego .docx lub .rtf - dokumentu zaprojektowanego w celu wykorzystania luki.

Kto jest celem ataku?

Zdaniem zespołu, celem ataku są nie tylko ukraińscy politycy, ale też osoby i podmioty, które wspierają Ukrainę w wojnie przeciwko Rosji.

Jak dodano: „na podstawie dostępnych informacji mamy średnią lub wysoką pewność, by stwierdzić, że jest to operacja RomCom” lub że jeden lub więcej członków z tej grupy stoi za nową kampanią.

Natomiast w piątek na łamach CyberDefence24.pl pisaliśmy , że ukraiński zespół reagowania na incydenty (CERT-UA) ujawnił nową kampanię hakerską, w ramach której atakujący także podszywają się pod Światowy Kongres Ukraińców. Sprawcy podobnie - wykorzystują temat przystąpienia naszego wschodniego sąsiada do NATO, o czym poinformowała Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP).

W związku ze szczytem NATO w Wilnie i faktem, że Polska znajduje się wśród państw, które wspierają Ukrainę w wojnie z Rosją, zalecamy szczególną ostrożność - nie otwierajcie podejrzanych załączników, nie klikajcie w linki prowadzące do nieznanych stron, ani nie podawajcie na nich danych. Bądźcie czujni.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].