Ukraina odpiera ataki Rosji na sektor energetyczny

Ukraina niezmiennie poddawana jest wrogim cyberatakom, którym musi stawić czoła. Tamtejszy CERT-UA przedstawił informacje dotyczące ostatnich tygodni. Opublikowano raport dotyczący okresu styczeń-luty br., wskazując na kwestie kluczowe z punktu widzenia naszego sąsiada.

Wojna na Ukrainie. Uniemożliwić Rosji atak

W ciągu tych dwóch miesięcy ukraińscy specjaliści mieli podjąć działania na rzecz m.in. uniemożliwienia realizacji operacji adwersarza o destrukcyjnym charakterze, wymierzonej w podmioty rządowe i sektor energetyczny. Nie wskazano jednak ich nazw.

Ponadto, CERT-UA zbadał systemy teleinformatyczne trzech organizacji, w tym z sektora finansowego i opieki zdrowotnej. 

Rosja jest w infrastrukturze Ukrainy

Ciekawe informacje dotyczą obecności wrogich aktorów w ukraińskich sieciach i systemach. Specjaliści wskazują, że „w większości przypadków początkowy nieuprawniony dostęp do infrastruktury ofiary uzyskano z wyprzedzeniem”. Jak dużym? Mowa o roku lub więcej. W celu przeniknięcia wykorzystano m.in. luki w oprogramowaniu.

Znane grupy hakerskie

Spora część cyberataków miała charakter cyberszpiegowski i była prowadzona przez znane grupy powiązane z Rosją: Fancy Bear oraz Turla. Ich przedmiot zainteresowania stanowią np. instytucje państwowe, operatorzy i właściciele infrastruktury krytycznej oraz ukraińskie wojsko. 

Jednak to nie one były najaktywniejsze w ostatnich tygodniach. 

Ataki na Ukrainę. Kto liderem?

Liderem w okresie styczeń-luty 2024 r. ma być prorosyjska grupa, którą CERT-UA śledzi pod sygnaturą UAC-0050.

„Na dzień 22 lutego br. odnotowano i zbadano minimum 15 kampanii, w czasie których atakujący użyli co najmniej 5 rodzajów złośliwego oprogramowania: REMCOS RAT, QUASAR RAT, VENOM RAT, REMOTE UTILITIES i LUMMASTEALER” – czytamy w komunikacie.

Polska też jest celem

Na naszych łamach opisywaliśmy operacje prowadzone przez tę grupę. Przykładem może być rozsyłanie maili podszywających się pod ukraińskie Państwową Służbę Specjalnej Łączności i Ochrony Informacji (SSSCIP) oraz Państwową Służbę Ratunkową. 

Wiadomości były rozpowszechniane na masową skalę, a w ich treści znajdowały się linki do archiwum. Ich otwarcie prowadziło do instalacji na urządzeniu Remote Utilities, czyli oprogramowania przeznaczonego do zdalnej kontroli. Według danych za styczeń br. udostępnionych przez CERT-UA, pobrano je ponad 3 tys. razy.

Grupa jest znana również w Polsce. Jak informowaliśmy, wroga operacja została wykryta przez naszych sąsiadów 7 grudnia ubiegłego roku. W jej ramach rozsyłano maile phishingowe np. na skrzynki władz państwowych RP.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].