Cyberbezpieczeństwo
To oni atakują Ukrainę. Trwa kampania na fałszywe wiadomości mailowe
Autor. Danika Perkinson/ Unsplash/ Domena publiczna
Fancy Bear (APT-28) to jedna z lepiej znanych grup na międzynarodowym rynku cyberprzestępczości. Od początku wojny w Ukrainie ze zdwojoną mocą atakuje ukraińskie podmioty, tym razem obierając sobie za cel ukraińskie jednostki rządowe. Trwa kampania phishingowa na fałszywe wiadomości mailowe o rzekomej aktualizacji systemu Windows.
Ukraiński zespół reagowania na incydenty komputerowe ( CERT-UA ) w swoim komunikacie ostrzega przed cyberatakami prowadzonymi przez rosyjskich hakerów, działających na rzecz Rosji. Ich celem są ukraińskie organy rządowe.
Agencja przypisała kampanię phishingową rosyjskiej grupie APT28 sponsorowanej przez państwo i powiązanej z GRU , która znana jest także jako: Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit i Sofacy.
Jak przebiega kampania phishingowa? Cyberprzestępcy atakują za pośrednictwem fałszywych wiadomości mailowych o aktualizacji systemu Windows (Windows Update).
Wiadomości o tym tytule - jakie otrzymują atakowani - mają rzekomo zawierać instrukcje w języku ukraińskim, by uruchomić skrypt PowerShell pod pretekstem „aktualizacji zabezpieczeń” – podaje serwis The Hacker News .
Celem ataku ma być zbieranie danych o ofiarach, a wiadomości mailowe podszywają się pod administratorów systemów atakowanych jednostek rządowych, używając do tego fałszywych kont mailowych w Microsoft Outlook, utworzonych na bazie imion i nazwisk autentycznych pracowników.
Grupa-APT-28
Do tej pory grupa Fancy Bear była znana m.in. z przeprowadzania ataków phishingowych na Ukrainę i państwa NATO.
Ostatnia kampania, jaką przypisano właśnie tym cyberprzestępcom dotyczyła wysyłki maili, które podszywały się pod administratorów systemów z agencji rządowych, których atakowali. „Jest wysoce prawdopodobne, że rosyjskie służby wywiadowcze, wojskowe i organy ścigania mają długotrwałe, milczące porozumienie z podmiotami zajmującymi się cyberprzestępczością” – stwierdziła firma cyberbezpieczeństwa Recorded Future w raporcie z początku tego roku.
Natomiast w kwietniu ub.r. firma Microsoft poinformowała, że przejęła siedem witryn, należących właśnie do grupy cyberprzestępczej Fancy Bear , powiązanej z rosyjskim wywiadem wojskowym GRU. Rosyjscy szpiedzy mieli wykorzystywać strony do atakowania ukraińskich mediów, think tanków skupionych na polityce zagranicznej oraz instytucji rządowych z USA i Unii Europejskiej.
/NB
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Jak odkryto blokady w pociągach Newagu?