Reklama

Cyberbezpieczeństwo

Ukraina: wroga kampania z wykorzystaniem wojskowego uniwersytetu

Ukraina wojna
Autor. Генеральний штаб ЗСУ (@GeneralStaffUA)/Twitter

Ukraiński zespół reagowania na incydenty komputerowe (ukraiński CERT) wykrył kampanię z wykorzystaniem wizerunku godła Uniwersytetu Obrony Narodowej. Jak się okazało, stoi za nim dobrze znana – również w Polsce – grupa APT UAC-0057.

Reklama

Eksperci ds. cyberbezpieczeństwa z ukraińskiego CERT-u wykryli dokument .ppt (daewdfq342r.ppt), który zawierał wirusa typu makro wraz z miniaturą godła Uniwersytetu Obrony Narodowej Ukrainy im. Iwana Czerniachowskiego.

Reklama

Jak czytamy, otwarcie dokumentu powodowało uruchomienie złośliwego oprogramowania, utworzenie pliku wykonywalnego i miniatury pliku, by uaktywnić go na atakowanym urządzeniu. Zdaniem ukraińskiego CERT-u, to malware PicassoLoader, jakiego zwykle używała grupa APT UAC-0057 (ta grupa ze swojej cyberprzestępczej działalności jest dobrze znana także w Polsce m.in. z kampanii Ghostwriter).

Jak wygląda schemat ataku? Złośliwe oprogramowanie ma pobierać i uruchamiać dropper .NET, odszyfrowujący i uruchamiający plik (PhotoMetadataHandler.dll); ten z kolei odszyfrowuje i uruchamia Cobalt Strike Beacon na docelowym urządzeniu.

Reklama

Z analizy ukraińskiego zespołu reagowania na incydenty komputerowe wynika, że atak został przeprowadzony najpóźniej 9 czerwca br., a serwery zarządzające złośliwym oprogramowaniem znajdują się w Rosji.

Czytaj też

Cyberataki w czasie wojny z Rosją

Ataki w cyberprzestrzeni mają miejsce codziennie w czasie rosyjskiej inwazji na Ukrainę, równolegle do działań na froncie. Grupa stojąca za kampanią Ghostwriter to nie jedyna, która angażuje się po stronie Putina. Wśród innych znajduje się m.in. Fancy Bear (powiązana z rosyjskim wywiadem GRU); haktywiści Killnet czy cyberszpiedzy z UAC-0056 (Pandora hVNC).

Czytaj też

Jurij Szihol, szef Państwowej Służby Komunikacji Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) – podobnie jak inni przedstawiciele ukraińskich władz i wojskowi - podkreślał, że Ukraina działa na rzecz uznania cyberprzestępstw za zbrodnie wojenne. „Hakerów można uznać za zbrodniarzy wojennych, gdy przeprowadzają ataki, które mogą skutkować śmiercią niewinnych cywilów" – mówił.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze