Google ostrzega. Wzrost liczby cyberataków na Ukrainę i kraje bałtyckie

Google ostrzega. Wzrost liczby cyberataków na Ukrainę i kraje bałtyckie

Hacker.
Hacker.
Źródło zdjęć: © Getty Images | sestovic
Przemysław Juraszek
05.05.2022 16:01, aktualizacja: 05.05.2022 17:47

Badacze z Threat Analysis Group (TAG) z Google'a stwierdzili, że w ostatnim czasie doszło do gwałtownego zwiększenia się aktywności grup cyberprzestępców pokroju APT28, Coldriver bądź Turla. Ich cele nie są dobierane przypadkowo.

Obydwie grupy są powiązane z Rosją, aczkolwiek APT28 znane tez jako Fancy Bear ma wsparcie także z Chin, Iranu czy Korei Północnej. W kwietniu Google zaobserwowało działalność APT28 polegającą na infekowaniu podmiotów w Ukrainie za pomocą złośliwego oprogramowania. Miało to na celu kradzież plików cookie i haseł przechowywanych przez przeglądarki Firefox, EdgeChrome.

Wektorem ataku są e-maile zawierające zaszyfrowane archiwa zip w formacie "ua_report.zip". Po zebraniu danych te są wysyłane e-mailem na konto atakującego.

Wykradzione informacje mogą posłużyć atakującym do przejęcia kontroli nad systemami różnego typu lub do szantażowania konkretnych osób. Na celowniku była i wciąż jest tutaj infrastruktura krytyczna, do której można zaliczyć np. dostawców internetu, media, operatorów sieci energetycznej, gazociągów, czy wodociągów.

Zobacz także:
Elektrocentromontazh zhakowany. Anonymous pozyskali 1,7 TB danych
Elektrocentromontazh zhakowany. Anonymous pozyskali 1,7 TB danych

Podobną kampanię zdobywania danych prowadzi grupa znana jako Callisto lub Coldriver. Poprzez ataki phishingowe cyberprzestępcy polują na dostęp do skrzynek e-mail urzędników, pracowników ministerstwa obrony, dziennikarzy, członków organizacji pozarządowych, polityków i personelu think tanków.

Początkowo przestępcy opierali się na wykorzystywaniu linków kierujących do zainfekowanych stron, ale z czasem zaczęli umieszczać szkodliwy kod w dokumentach udostępnianych na Google Drive lub Microsoft One Drive.

Aktywna była także białoruska grupa Ghostwriter przeprowadzająca ataki phishingowe na wysoko postawione cele w Ukrainie. Wysyłane wiadomości zawierały linki do zhakowanych stron internetowych wymagających powtórnego zalogowania się. Google informuje, że w wyniku tej kampanii phishingowej żadne z atakowanych kont nie zostało przejęte.

Warto zaznaczyć, że wzmocniona ochotnikami z Zachodu i wspierana przez kolektyw Anonymous, "cyberarmia" Ukrainy jest bardzo skuteczna w odpieraniu ataków Rosjan na ukraińską infrastrukturę.

Zobacz także:
Kryzys półprzewodnikowy potrwa do 2024 r. Nowe przewidywania Intela
Kryzys półprzewodnikowy potrwa do 2024 r. Nowe przewidywania Intela

Rosyjskie cyberataki to nie tylko Ukraina

Odnotowano też znacznie zwiększenie działalności na terenie państw bałtyckich grupy Turla, która jest wspierana lub składa się z funkcjonariuszy rosyjskiej Federalnej Służby Bezpieczeństwa (FSB). Grupa tak samo jak Coldriver prowadziła kampanie phishingowe nakierowane na podmioty rządowe, organizacje obronne czy zajmujące się cyberbezpieczeństwem.

Wektorem ataku także w tym przypadku były wiadomości e-mail zawierające linki prowadzące do plików DOCX, udostępnianych przez atakującego. Dotychczas zidentyfikowano dwie domeny atakujących: wkoinfo.webredirect[.]org i jadlactnato.webredirect[.]org (adresy zawierają dodatkowe znaki, aby uniemożliwić przypadkowe kliknięcie).

Zobacz także:
Ukraińska cyberwojna. Skuteczność przekroczyła oczekiwania
Ukraińska cyberwojna. Skuteczność przekroczyła oczekiwania

Przemysław Juraszek, dziennikarz dobreprogramy.pl

Programy

Zobacz więcej
oprogramowaniecyberbezpieczeństwoinwazja Rosji na Ukrainę
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie