Polskie instytucje publiczne znów na celowniku rosyjskich hakerów

Przeczytaj także: Lazarus atakuje pracowników z polskiej branży zbrojeniowej

Z raportu ESET wynika, że łączona od dawna z rosyjskim GRU grupa Sednit rozsyłała fałszywe maile z planami posiedzeń Parlamentu Europejskiego, aby zachęcić ofiary do pobrania zainfekowanego pliku archiwum RAR. Atak ten dotknął wiele krajów Unii Europejskiej.

Instytucje publiczne w Polsce, Czechach i Ukrainie zostały również zaatakowane poprzez fałszywe zaproszenia na spotkania rozsyłane poprzez Microsoft Outlook.

Celem grup takich jak Sednit, czyli tak zwanych grup APT (Advanced Persistent Threat) jest szpiegowanie i wykradanie tajnych informacji. Tego rodzaju organizacje działają zwykle w bliskiej współpracy z państwowymi agencjami wywiadowczymi różnych krajów. Sednit to od dawna znana grupa łączona z rosyjskim GRU, która odpowiada m.in. za ataki na Stany Zjednoczone w okolicy wyborów w 2016 roku. W odróżnieniu od standardowych grup cyberprzestępców nie są oni nastawieni na zyski finansowe, ich celem jest jak najdłuższe działanie w ukryciu i gromadzenie informacji. Działanie grup typu APT uświadamia nam, jak bardzo zmieniły się strategie wojenne w ostatnich latach. Wzmożoną aktywność takich przestępców w Polsce można z dużą dozą pewności łączyć z trwająca w Ukrainie wojną – komentuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

Badacze ESET okryli również, że ataki cyberszpiegowskie na polskie instytucje prowadziła także grupa, która ma powiązania z Federalną Służbą Bezpieczeństwa Federacji Rosyjskiej (FSB). Ofiarami były również rządy Ukrainy, Litwy i Estonii. Z danych ESET wynika, że Gamaredon atakuje prawie codziennie, co więcej jej aktywność stale się zwiększa.

Ataki Gamaredona inicjowane są poprzez maile z załączonymi plikami HTML. Niestety nie jest to jedyna droga. Szpiegowski kod może również zacząć działać na komputerze po otwarciu spreparowanego dokumentu Word lub podłączeniu pendrive’a – ostrzegał Robert Lipovsky, ESET Principal Threat Intelligence Researcher podczas konferencji Tech For Good.

Przestępcy związani z FSB są w ten sposób w stanie wykradać informacje nie tylko z maili, ale m.in. również z desktopowych wersji WhatsApp’a, Signala i Telegramu.

Ataki na polski sektor logistyczny

Badacze ESET odkryli, że celem rosyjskich cyberprzestępców były również polskie i ukraińskie firmy logistyczne.

Często ataki, których celem jest Ukraina, wymykają się spod kontroli cyberprzestępców i rozlewają na inne kraje. W przypadku ataków na polskie firmy logistyczne wiemy, że było inaczej. Atak z pewnością był celowy – mówił Robert Lipovsky.

Ataki na firmy logistyczne były wyjątkowo perfidne. Cyberprzestępcy przesyłali wiadomość z informacją o zaszyfrowaniu danych z żądaniem wykupienia oprogramowania do ich odzyskania – innymi słowy okupu. Następnie, nawet jeśli ofiara wpłaciła pieniądze, dane były kasowane. W tym przypadku również widać, że przestępcom ewidentnie nie zależało na zyskach finansowych.

Grupy cyberprzestępców współpracujących z rosyjskim wywiadem coraz częściej do swoich ataków wykorzystują podatności w popularnych narzędziach jak np. WinRAR czy Outlook. Wybierają je, pamiętając o tym, jakiego oprogramowania używają na co dzień firmy, instytucje i organizacje. W efekcie coraz trudniej zauważyć, że ktoś jest śledzony. Skupiają się również na atakach na komunikatory internetowe. Niestety jasne jest, że cyberwojna, którą Rosja toczy z Ukrainą, często rozlewa się na kraje sojusznicze. Wiedząc o tym, pozostaje mieć nadzieję, że nowi posłowie, którzy teraz uczestniczą w wielu szkoleniach, a niebawem zasiądą w ławach sejmowych, zwrócą szczególną uwagę na zapoznanie się szczegółowo z zasadami cyberbezpieczeństwa. Dbanie o bezpieczeństwo cyfrowe kraju zdecydowanie powinno znaleźć się na liście priorytetów nowego rządu.