Ukraińskie elity dostały maile z malwarem. Operacja rosyjskiego GRU?
Autor. Riki32/Pixabay
Grupa powiązana z rosyjskim GRU może stać za cyberatakami na ukraińskie podmioty zajmujące się bezpieczeństwem i obronnością. Ustalenia zespołu ekspertów wskazują, że przedstawiciele władzy otrzymywali e-maile rzekomo wysłane przez osoby z ministerstw. Zawierały malware, a sprawcy wykorzystali technologię sztucznej inteligencji.
Sytuacja w cyberprzestrzeni w kontekście zagrożeń ze wschodu jest niezmiennie poważna. Nie ma tygodnia bez informacji o kolejnej próbie penetracji systemów przez podmioty powiązane z Rosją. Na łamach naszego portalu w ostatnim czasie informowaliśmy o m.in. ataku na polskie wodociągi, czy operacjach przeciwko polskim szpitalom.
Operacja phishingowa przeciwko Ukraińcom
Rosyjscy hakerzy nie ograniczają się jedynie do ataków na Polskę czy inne państwa NATO – ich głównym celem pozostaje Ukraina.
Jak podaje Państwowa Służba Łączności Specjalnej i Ochrony Informacji (SSSCIP), zespół CERT-UA zidentyfikował kampanię phshingową wymierzoną w podmioty zajmujące się bezpieczeństwem i obroną.
Według szczegółów ujawnionych przez ekspertów cyberbezpieczeństwa, do przedstawicieli władzy wykonawczej trafiały wiadomości e-mail rzekomo wysłane przez pracowników ministerstw. Zawierały załącznik (o zupełnie normalnej nazwie „Załącznik”) w formacie .pdf – włączenie podglądu rozszerzeń pokazywało jednak, że jest to archiwum .rar, w środku którego był plik .pif.
Czytaj też
AI generująca komendy
Analiza znalezionego załącznika przez zespół CERT-UA wykazała, że jest to malware napisane w języku Python i przekonwertowane za pośrednictwem PyInstallera. Został on ochrzczony mianem LAMEHUG; jednocześnie zidentyfikowano dwa dodatkowe warianty malware, podszywające się pod plik graficzny oraz generator AI.
Co ciekawe, autorzy LAMEHUG wykorzystali w jego ramach sztuczną inteligencję w postaci dużego modelu językowego (LLM). Jego zadaniem jest generowanie komend w oparciu o opisy. Działanie samego malware jest z kolei typowe – oprogramowanie zbiera informacje o systemie, jak również przeszukuje komputer pod kątem dokumentów, a następnie przekazuje je na zewnętrzne serwery.
Hakerzy zdecydowali się również na wysyłkę wiadomości e-mail z przejętego konta poczty elektronicznej, co podniosło ich szanse na zwiększenie grona ofiar ze względu na „zaufane” źródło wiadomości.
Czytaj też
Rosyjskie GRU wśród podejrzanych
Jednym z prawdopodobnych sprawców operacji jest rosyjska grupa UAC-0001, znana jako APT28 lub Fancy Bear, działająca na zlecenie tamtejszych służb specjalnych, a konkretnie wywiadu wojskowego GRU. Możliwość zaangażowania putinowskich agencji nie powinna jednak nikogo dziwić - kilka tygodni temu NATO ostrzegało przed działaniami GRU tego rodzaju.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?
Materiał sponsorowany