Rosyjscy hakerzy działający na zlecenie państwowego wywiadu infiltrowali amerykańskie sieci i systemy instytucji państwowych oraz podmiotów prywatnych, funkcjonujących we wrażliwych dla państwa sektorach. Złośliwa kampania trwała od 2018 roku, a jej głównym celem było gromadzenie danych wywiadowczych. Hakerzy będą kontynuować swoje działania, pomimo wykrycia – alarmują specjaliści.
Hakerzy powiązani z GRU prowadzili kampanię wymierzoną w amerykańskie organizacje rządowe oraz infrastrukturę krytyczną. Według zawiadomienia FBI przesłanego do ofiar incydentów, do którego dotarł serwis Wired, od grudnia 2018 roku do co najmniej maja bieżącego roku grupa hakerska APT28 (znana również jako Fancy Bear) prowadziła zaawansowaną operację przeciwko celom w USA.
Kampania polegała przede wszystkim na próbach włamań do internetowej poczty ofiar, Microsoft Office 365 oraz serwerów VPN. Cele obejmowały „szeroki zakres organizacji z siedzibą w Stanach Zjednoczonych, agencji stanowych i federalnych oraz instytucji edukacyjnych” – przytacza treść komunikatu FBI serwis Wired. Najprawdopodobniej kampania dotknęła również sektor energetyczny.
Rzecznik FBI podkreślił, że obecnie nie wszystkie motywy działania hakerów są znane. Analiza wykazała, że kampania trwała przez ostatnie kilka miesięcy i stanowi trwałe zagrożenie dla bezpieczeństwa państwa. FBI nie ma wątpliwości, że złośliwe działania ze strony Fancy Bear będą kontynuowane pomimo wykrycia.
Podstawą działania hakerów były wiadomości spear-phishingowe, które rozsyłano zarówno na osobiste jak i służbowe konta e-mail. Kampania bazowała również na próbie złamania haseł do kont ofiar w celu uzyskania dostępy do konkretnych systemów.
APT28 w ramach kampanii dbała o ukrycie swojej obecności w sieci. Jeden z cyberataków na rządową organizację był niezauważalny nawet dla jej personelu IT. Wówczas hakerzy skutecznie uzyskali dostęp do serwera poczty elektronicznej. „Gdy znaleźli się na serwerze, ukradli zapisy skrzynek pocztowych” – powiedział w rozmowie z Wired pracownik poszkodowanej organizacji, który pragnie pozostać anonimowym.
FBI odmówiło komentarza na temat liczby ofiar, ich konkretnych nazw oraz podania informacji na temat tego, ile prób cyberataków zakończyło się sukcesem. Według firmy FireEye hakerzy nie infekowali sieci i systemów złośliwym oprogramowaniem. Ich podstawowym celem było uzyskanie dostępu określonych zasobów oraz gromadzenie danych.
W tym miejscu warto zaznaczyć, że co najmniej jeden z celów grupy Fancy Bear był powiązany z amerykańskim sektorem energetycznym. Potwierdza to między innymi raport Departamentu Energii USA, w którym stwierdzono, że pod koniec grudnia ubiegłego roku nieznany aktor próbował przejąć dane do logowania jednej z firm działającej w tym sektorze. Do tej pory APT28 nie interesowała się branżą energetyczną, co budzi zainteresowanie specjalistów.
Należy podkreślić, że nie jest to jedyna kampania, którą rosyjscy hakerzy powiązani z wywiadem prowadzili w ostatnim czasie. Jak informowaliśmy wcześniej, w 2020 roku Moskwa realizowała złośliwą operację wymierzoną w organizacje zaangażowane w opracowanie szczepionek na koronawirusa. Miała ona charakter globalny i obejmowała cele znajdujące się przede wszystkim w Kanadzie, Stanach Zjednoczonych oraz Wielkiej Brytanii.
Za pomocą cyberataków Rosja chciałą poznać tajemnice dotyczące Covid-19 i wykraść dane na temat potencjalnego leku. „Jest wysoce prawdopodobne, że zamiarem hakerów była kradzież informacji i własności intelektualnej związanej z opracowywaniem i testowaniem szczepionek przeciwko Covid-19” – wskazano w oficjalnym raporcie brytyjskiego National Cyber Security Centre (NCSC).
Odkrywając złośliwe działania ze strony Moskwy, specjaliści zaalarmowali, że hakerzy z pewnością będą kontynuować swoje wysiłki, aby zrealizować zadania postawione przez rosyjski wywiad. Głównym zamiarem specsłużb jest chęć pozyskania danych wywiadowczych na temat pandemii.
Pomimo jednoznacznych zarzutów kierowanych w stronę Rosji, Kreml nie zmienia swojej retoryki, zaprzeczając wszelkim doniesieniom o wrogich działaniach ze strony służb wywiadu. Co więcej, Rosja sama wyszła z inicjatywą, której głównym przesłaniem był apel o „pokój” w cyberprzestrzeni.
Jak informowaliśmy wcześniej, Moskwa zwróciła się do społeczności międzynarodowej o powstrzymanie się od prowadzenia złośliwych cyberataków wymierzonych w sektor ochrony zdrowia oraz infrastrukturę krytyczną w czasie, gdy świat walczy z pandemią koronawirusa.
Wydaje się, że retoryka Kremla ma na celu złagodzenie sytuacji związanej z rosyjskimi działaniami w cyberprzestrzeni, których jednym z celów jest kradzież know-how na temat szczepionek i metod leczenia Covid-19. W ten sposób Rosja próbuje odwrócić od siebie uwagę, wskazując, że „Moskwa podziela opinię wielu państw, że złośliwe kampanie wymierzone w sektor służby zdrowia i infrastrukturę krytyczną w dobie pandemii koronawirusa są niedopuszczalne”.