Google ostrzega. Wzrost liczby cyberataków na Ukrainę i kraje bałtyckie
Badacze z Threat Analysis Group (TAG) z Google'a stwierdzili, że w ostatnim czasie doszło do gwałtownego zwiększenia się aktywności grup cyberprzestępców pokroju APT28, Coldriver bądź Turla. Ich cele nie są dobierane przypadkowo.
05.05.2022 | aktual.: 05.05.2022 17:47
Obydwie grupy są powiązane z Rosją, aczkolwiek APT28 znane tez jako Fancy Bear ma wsparcie także z Chin, Iranu czy Korei Północnej. W kwietniu Google zaobserwowało działalność APT28 polegającą na infekowaniu podmiotów w Ukrainie za pomocą złośliwego oprogramowania. Miało to na celu kradzież plików cookie i haseł przechowywanych przez przeglądarki Firefox, Edge i Chrome.
Wektorem ataku są e-maile zawierające zaszyfrowane archiwa zip w formacie "ua_report.zip". Po zebraniu danych te są wysyłane e-mailem na konto atakującego.
Wykradzione informacje mogą posłużyć atakującym do przejęcia kontroli nad systemami różnego typu lub do szantażowania konkretnych osób. Na celowniku była i wciąż jest tutaj infrastruktura krytyczna, do której można zaliczyć np. dostawców internetu, media, operatorów sieci energetycznej, gazociągów, czy wodociągów.
Podobną kampanię zdobywania danych prowadzi grupa znana jako Callisto lub Coldriver. Poprzez ataki phishingowe cyberprzestępcy polują na dostęp do skrzynek e-mail urzędników, pracowników ministerstwa obrony, dziennikarzy, członków organizacji pozarządowych, polityków i personelu think tanków.
Początkowo przestępcy opierali się na wykorzystywaniu linków kierujących do zainfekowanych stron, ale z czasem zaczęli umieszczać szkodliwy kod w dokumentach udostępnianych na Google Drive lub Microsoft One Drive.
Aktywna była także białoruska grupa Ghostwriter przeprowadzająca ataki phishingowe na wysoko postawione cele w Ukrainie. Wysyłane wiadomości zawierały linki do zhakowanych stron internetowych wymagających powtórnego zalogowania się. Google informuje, że w wyniku tej kampanii phishingowej żadne z atakowanych kont nie zostało przejęte.
Warto zaznaczyć, że wzmocniona ochotnikami z Zachodu i wspierana przez kolektyw Anonymous, "cyberarmia" Ukrainy jest bardzo skuteczna w odpieraniu ataków Rosjan na ukraińską infrastrukturę.
Rosyjskie cyberataki to nie tylko Ukraina
Odnotowano też znacznie zwiększenie działalności na terenie państw bałtyckich grupy Turla, która jest wspierana lub składa się z funkcjonariuszy rosyjskiej Federalnej Służby Bezpieczeństwa (FSB). Grupa tak samo jak Coldriver prowadziła kampanie phishingowe nakierowane na podmioty rządowe, organizacje obronne czy zajmujące się cyberbezpieczeństwem.
Wektorem ataku także w tym przypadku były wiadomości e-mail zawierające linki prowadzące do plików DOCX, udostępnianych przez atakującego. Dotychczas zidentyfikowano dwie domeny atakujących: wkoinfo.webredirect[.]org i jadlactnato.webredirect[.]org (adresy zawierają dodatkowe znaki, aby uniemożliwić przypadkowe kliknięcie).
Przemysław Juraszek, dziennikarz dobreprogramy.pl