Rosyjscy szpiedzy atakują Polskę. Kontrwywiad alarmuje

CERT Polska i Służba Kontrwywiadu Wojskowego ostrzega przed kampanią szpiegowską, która łączona jest z działaniami rosyjskich służb specjalnych. Szpiedzy starali się wykraść informacje z ministerstw i placówek dyplomatycznych należących do państw NATO i UE.

Rosyjscy szpiedzy starają się destabilizować sytuację w krajach NATO i Unii Europejskiej. Zespół CERT Polska i Służba Kontrwywiadu Służbowego zidentyfikowały kampanię, która prawdopodobnie jest powiązana z działaniami służb specjalnych Rosji. Wskazują na to różne szczegóły kampanii.

Wiele jej elementów, takich jak infrastruktura, wykorzystane techniki i narzędzia pokrywają się w całości lub częściowo ze znanymi z przeszłości aktywnościami grupy, którą Microsoft nazywał "NOBELIUM", a Mandiant "APT29". Grupa ta powiązana jest z licznymi kampaniami o charakterze wywiadowczym, mowa tu np. o kampanii "SUNBURST" czy "BOOMBOX".Dalsza część artykułu pod materiałem wideo

Dalsza część artykułu pod materiałem wideo

W odróżnieniu od wcześniejszych ataków grupy, podczas najnowszej kampanii wykorzystano nowe, nieodnotowane wcześniej oprogramowanie. Sprawcy wykorzystywali nowe narzędzia równolegle do starszych metod, dzięki czemu utrzymywali ciągłość działań.

- Zacieśnianie współpracy między krajowymi podmiotami obserwującymi aktywność grup sponsorowanych przez obce państwa jest kluczowe dla bezpieczeństwa Polski. Dzięki bliskiej współpracy analityków CERT Polska i Służby Kontrwywiadu Wojskowego połączono elementy widziane z różnych perspektyw. Dało to efekt w postaci raportu zawierającego analizę nigdy wcześniej nie opisywanych narzędzi i z pewnością przyczyni się do zwiększenia ich wykrywalności - podkreślił Janusz Cieszyński, Minister Cyfryzacji.

W trwającej i wciąż rozwijanej kampanii cyberprzestępcy wykorzystują technikę spear phishingu. Wysyłają wiadomości do wyselekcjonowanych pracowników placówek dyplomatycznych. Podszywają się w nich pod ambasady różnych krajów europejskich. W korespondencji przesyłano np. zaproszenie na spotkanie lub do wspólnej pracy nad określoną sprawą. Wiadomość zawierała też załącznik, który miał rzekomo kierować do kalendarza ambasadora, szczegółów spotkania lub pliku do pobrania.

W rzeczywistości odnośnik kierował do przejętej strony. Zamieszczony na niej był charakterystyczny skrypt, korzystający z techniki HTML Smuggling. Przy jej użyciu złośliwy plik jest odkodowywany w momencie otwarcia strony, a następnie pobierany na urządzenie ofiary. Skrypt wyświetlał też stronę internetową, której zadaniem było przekonanie ofiary, że pobrała właściwy załącznik.

Sprawcy ataków wykorzystywali różne techniki, by nakłonić ofiary do uruchomienia pobranego złośliwego oprogramowania. Jedna z nich wykorzystywała plik skrótu, który udawał dokument. W rzeczywistości miał on za zadanie uruchomić ukrytą bibliotekę DLL. Inna metoda zakładała użycie podpisanego pliku wykonywalnego do załadowania i wykonania złośliwego kodu zawartego w dołączonej bibliotece DLL. Na późniejszym etapie w nazwie pliku dodawano liczne znaki spacji, które utrudniały zauważenie rozszerzenia .exe.