- WIADOMOŚCI
Rosyjska grupa Sednit powraca. Polskie i ukraińskie organizacje na celowniku
Ukraińskie wojsko nieustannie pozostaje na celowniku prorosyjskiej grupy Sednit (znanej m.in. jako APT28, Fancy Bear czy Sofacy). W przeszłości APT atakowało polskie organizacje, wykorzystując przy tym podatności w Roundcube, WinRAR czy Microsoft Outlook. Czy polskie wojsko i administracja są przygotowane na starcie z tak zaawansowanym przeciwnikiem, który wciąż udoskonala swój arsenał?
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
Artykuł sponsorowany
Analitycy ESET jasno wskazują - Sednit, rosyjska grupa APT, wciąż stanowi zagrożenie dla organizacji w naszym regionie. APT28 wykorzystuje oprogramowanie szpiegowskie, które umożliwia niemal niezauważone zbieranie informacji. W tym celu używa malware’u, którego ruch sieciowy przypomina normalną aktywność użytkownika. Sednit maskuje swoją obecność za pomocą popularnych usług chmurowych, co znacznie utrudnia wykrycie operacji szpiegowskich w oparciu o tradycyjne rozwiązania.
Udane ataki Sednit
W 2015 roku APT28 zaatakowało niemiecki parlament. Według DW , Sednit miało wykraść 16 gigabajtów danych, w tym e-maile posłów Bundestagu. Należy przy tym podkreślić, że incydent najprawdopodobniej był częścią szerszej kampanii rosyjskich służb.
Rok później doszło do ataku na skrzynki pocztowe amerykańskiego Komitetu Demokratów (DNC), skutkującego m.in. masową kradzieżą oraz późniejszą publikacją e-maili. Za działania współodpowiedzialny ma być Sednit, bezpośrednio związany z jednostką 26165 rosyjskiego GRU. Atak skutkował m.in. kradzieżą 50 tys. e-maili z konta Johna Podesty, szefa kampanii prezydenckiej Hillary Clinton.
APT28 miało również odpowiadać za atak na francuskie TV5Monde oraz Światową Agencję Antydopingową (WADA).
Ukraińskie wojsko na celowniku Sednit
Rosyjskie APT prowadziło długotrwałą operację szpiegowską, wymierzoną w ukraińskich wojskowych, która trwała nieprzerwanie od kwietnia 2024 roku. W tym celu Sednit wykorzystało autorskie narzędzia – mowa tutaj o:
- SlimAgent (spyware, keylogger);
- BeardShell (backdoor);
- Covenant (otwartoźródłowy framework do działań po eksploitacji).
Analitycy ESET podkreślają, że Sednit używa narzędzi, których fundamenty powstały nawet kilkanaście lat temu. Dodatkowo APT28 korzystało z popularnej usługi chmurowej Icedrive, przez co wykrycie ich działań jest o wiele trudniejsze.
W lutym 2026 roku CERT-UA opisało wykorzystanie podatności w Microsoft Office (CVE-2026-21509) przez Sednit. Wówczas APT28 korzystało z usługi chmurowej Filen. Celem kampanii były strategiczne podmioty w Europie Środkowo-Wschodniej, w tym centralne organy wykonawcze Ukrainy.
O skali zagrożenia informowało m.in. Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni, podkreślając wykorzystanie przejętych kont pocztowych instytucji państwowych do rozsyłania wiadomości.
Zagrożenia związane z SlimAgent, BeardShell i Covenant podkreślał CERTUA już w czerwcu 2025 roku. ESET podkreśla, że wspólne fragmenty kodu i techniki wskazują na„ciągłość kadrową w zespole odpowiedzialnym za rozwój narzędzi grupy”, bazując na podobieństwach do oprogramowania pochodzącego z okolic 2010 roku.
Ataki Sednit na Polskę
W czerwcu 2023 roku analitycy ESET odkryli kampanie spearphisingowe (przygotowane pod konkretną osobę – przyp. red.), które wykorzystywały lukę XSS w RoundCube. Analitycy przypisali złośliwą działalność do grupy Sednit. APT mogło m.in. wykradać wiadomości e-mail oraz tworzyć reguły przekierowań w celu wykradania informacji. Należy przy tym podkreślić, że w sierpniu i wrześniu 2023 roku kampania dotknęła również Polskę.
W tym samym czasie APT28 wykryto wykorzystanie podatności w Microsoft Outlook (CVE-2023-23397), umożliwiającej atakującym wywołanie żądania uwierzytelniania (NTLM) skierowanego do serwera atakującego. W tym celu Sednit rozsyłało specjalnie spreparowane zaproszenia w formacie.ics.
Analitycy ESET wykryli również kolejną kampanię spearphishingową, skierowaną przeciwko podmiotom politycznym w Unii Europejskiej i Ukrainie. Tym razem APT28 wykorzystywało lukę w WinRAR (CVE-2023-38831), która umożliwiała atakującym zdalne wykonanie kodu (RCE). W ramach „przynęty” wykorzystano harmonogramy porządku obrad Parlamentu Europejskiego. W raporcie ESET o aktywności APT w drugim i trzecim kwartale 2023 roku znalazł się realny przykład próby wykorzystania podatności.
Autor. ESET, APT Activity Report (Q2-Q3 2023)
Powracające zagrożenie
Widzimy, że Sednit nieustannie stanowi zagrożenie dla organizacji w naszym regionie. Wykorzystanie „dwóch implantów” (BeardShell i Covenant) oraz omijanie detekcji w oparciu o popularne rozwiązania chmurowe (Icedrive oraz Filen) pokazuje, że APT28 wciąż szuka sposobów na ulepszenie swoich technik, jednocześnie bazując na doświadczeniu i kodzie sprzed nawet kilkunastu lat.
O ciągłości pracy nad oprogramowaniem świadczy m.in. specyficzna i rzadka technika obfuskacji „opaque predicate” – identyczna do tej, której używało narzędzie Xtunnel w latach 2013-2016. Dodatkowo, wspomniany SlimAgent stanowi ewolucję „flagowego” backdoora, znanego jako Xagent.
Zagrożenie ze strony grupy Sednit nie zniknęło, a grupa stale szuka sposobów na celne uderzenie. Szczegółowa analiza najnowszego arsenału grupy Sednit została opisana na blogu ESET Research.
Artykuł sponsorowany
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Krajowy system e-Faktur - co musisz wiedzieć o KSEF?
Materiał sponsorowany