Służba Kontrwywiadu Wojskowego ostrzega przed cyberszpiegami z Rosji. Tamtejsze służby wywiadowcze mają stać za trwającą od października 2022 roku kampanią szpiegowską, wymierzoną w państwa członkowskie NATO, państwa UE oraz, w mniejszym stopniu, kraje afrykańskie.
Służba Kontrwywiadu Wojskowego i zespół CERT Polska zaobserwowały szeroko zakrojoną kampanię szpiegowską powiązaną z rosyjskimi służbami wywiadowczymi. Jej celem jest zbieranie informacji od ministerstw spraw zagranicznych i podmiotów dyplomatycznych państw członkowskich NATO oraz Unii Europejskiej.
Wiele elementów obserwowanej kampanii – infrastruktura, stosowane techniki i narzędzia – pokrywają się, częściowo lub w całości, z działaniami opisanymi w przeszłości, określanymi przez Microsoft jako "NOBELIUM", a przez Mandiant jako "APT29". Stojący za nimi "aktor" został powiązany między innymi z kampanią "SOLARWINDS" oraz narzędzia "SUNBURST", "ENVYSCOUT" i "BOOMBOX", a także liczne inne kampanie szpiegowskie.
W momencie publikacji raportu na rządowej stronie kampania była nadal w toku i w fazie rozwoju. Służba Kontrwywiadu Wojskowego oraz CERT.PL rekomendują wszystkim podmiotom, które mogą być w obszarze zainteresowania "aktora", wdrożenie mechanizmów mających na celu poprawę bezpieczeństwa wykorzystywanych systemów bezpieczeństwa IT oraz zwiększenie wykrywalności ataków.
W 2022 roku eksperci firmy Check Point Software zwracali uwagę na działania grupy APT29:
Rosyjska grupa szpiegowska APT 29 (znana również jako Cosy Bear lub Nobelium) atakowała konta Microsoft 365 w krajach NATO w celach cyberszpiegowskich. Grupa nadużywała różnych funkcji platformy Azure i próbowała uzyskać dostęp do informacji dotyczących polityki zagranicznej.
Ekosystem haktywistyczny zmienił formę i dojrzał pod względem motywacji i celów.
Granice między haktywizmem, a państwowymi operacjami cybernetycznymi zaczęły się zacierać. Grupy haktywistów sprofesjonalizowały poziom organizacji i kontroli oraz operacji, przypominających kampanie wojskowe: rekrutują i szkolą, udostępniają między sobą narzędzia, dane wywiadowcze i przydzielają cele.
– powiedział Sergeya Shykevicha, eksperta bezpieczeństwa cybernetycznego z Check Point Software
We wszystkich zaobserwowanych przypadkach cyberszpiedzy stosowali techniki spear phishingu. E-maile podszywające się pod ambasady państw europejskich zostały wysłane do wybranych pracowników placówek dyplomatycznych.
Korespondencja zawierała zaproszenie na spotkanie lub wspólną pracę nad dokumentami. W treści wiadomości lub w załączonym dokumencie PDF umieszczono link rzekomo kierujący do kalendarza ambasadora, szczegółów spotkania lub pliku do pobrania.
Link prowadził do skompromitowanej strony internetowej, która zawierała scenariusz podpisu "aktora", publicznie określany jako "ENVYSCOUT". Wykorzystuje on technikę przemytu HTML – w której szkodliwy plik umieszczony na stronie jest dekodowany przy użyciu JavaScript podczas otwierania strony, a następnie pobierany na urządzenie ofiary.
To sprawia, że złośliwy plik jest trudniejszy do wykrycia po stronie serwera, na którym jest przechowywany. Strona internetowa wyświetlała również informację, która miała zapewnić ofiarę, że pobrała właściwy załącznik.
W trakcie opisywanej kampanii zaobserwowano trzy różne wersje narzędzia ENVYSCOUT, stopniowo dodając nowe mechanizmy utrudniające analizę.
Kampanie obserwowane w przeszłości związane z "NOBELIUM" i "APT29" używały plików .ZIP lub . ISO do dostarczenia złośliwego oprogramowania. Używano również plików IMG.
Obrazy dysków ISO i IMG na komputerach z systemem Windows są automatycznie montowane w systemie plików po otwarciu, co powoduje wyświetlanie ich zawartości w Eksploratorze Windows. Ponadto nie posiadają tzw. mark-of-the-web, czyli użytkownik nie zostanie ostrzeżony, że pliki zostały pobrane z Internetu.
Szpiedzy użyli różnych technik, aby skłonić użytkownika do uruchomienia złośliwego oprogramowania. Jednym z nich był plik skrótu Windows (LNK) udający dokument, ale w rzeczywistości uruchamiający ukrytą bibliotekę DLL za pomocą narzędzi "aktora".
Zaobserwowano również technikę DLL Sideloading, używając podpisanego pliku wykonywalnego do załadowania i wykonania kodu zawartego w ukrytej bibliotece DLL poprzez umieszczenie go w tym samym katalogu, pod nazwą wybraną zgodnie z wpisami w tabeli importu.
Na późniejszym etapie kampanii nazwa pliku wykonywalnego zawierała wiele spacji, aby utrudnić wykrycie rozszerzenia exe.
Podczas kampanii szpiegowskiej używano między innymi następujących narzędzi:
Więcej informacji na temat kampanii szpiegowskiej można znaleźć na stronie rządowej (w języku angielskim).
Zobacz: Jak naciąć Polaka? Pokazać mu kobiece piersi
Zobacz: Przeklęte ogłoszenie. Gdy widzisz taką prośbę, od razu odpuść
Źródło zdjęć: Shutterstock, Frederic Legrand - COMEO / Shutterstock.com
Źródło tekstu: gov.pl, materiały prasowe
