Grupy APT zaatakowały ukraińskich migrantów

Dwie grupy APT (Advanced Persistent Threats) prawdopodobnie powiązane z rządami Rosji i Białorusi przeprowadziły akcje phishingowe, których celem byli Ukraińcy uciekający przed spadającymi na ich głowy bombami. Grupy oznaczone w bazie danych Mandiant jako UNC1151 i UNC2589 wykorzystywały przynęty o tematyce bezpieczeństwa publicznego i katastrof humanitarnych.

Pierwsza z wymienionych grup wysyłała komunikat - „Co robić podczas ostrzału artyleryjskiego”. Osoby, które połknęły haczyk, nieświadomie zainstalowały na własnych komputerach szkodliwe oprogramowanie typu Microbackdoor. Jego działanie ma bardzo szkodliwy charakter, bowiem może manipulować plikami, wykonywać polecenia czy robić zrzuty ekranu.

Grupa UNC2589 przypuszczalnie stała za atakami złośliwego oprogramowania WhisperGate. Oszuści rozesłali Ukraińcom plan ewakuacji, a wraz z nim groźne narzędzie RemoteUtils, pozwalające napastnikom zdalnie kontrolować komputery ofiary. UNC2589 podejrzewa się też o dystrybucję dwóch innych złośliwych programów. Pierwszy z nich to Grimplant - backdoor wydobywający informacje systemowe z zainfekowanego urządzenia, drugi ze szkodników Graphsteel działa na podobnej zasadzie.

Służba Bezpieczeństwa Ukrainy nie tylko śledziła obie kampanie, ale również ostrzegała przed nimi obywateli.

„W ten sposób państwo-agresor próbuje zainstalować oprogramowanie antywirusowe na komputerach Ukraińców i zbierać poufne informacje” – napisano. „Apelujemy, abyście nie otwierali takich e-maili i nie klikali podanych linków. SBU nie wysłała żadnych korespondencji. Informujemy obywateli wyłącznie za pośrednictwem oficjalnych kanałów komunikacji.”

Ukraińcy odpierają cyberataki

Dane opublikowane w lipcu przez ukraińskie Państwowe Centrum Cyberobrony (SCPC), ujawniły, że w drugim kwartale 2022 roku Ukraina wykryła i przetworzyła 19 mld potencjalnych zdarzeń cybernetycznych, z których 180 000 było podejrzanych, a 49 000 zidentyfikowanych jako potencjalne zdarzenia krytyczne.

Liczba zarejestrowanych incydentów cybernetycznych w drugim kwartale – czyli krytycznych zdarzeń zidentyfikowanych i przetworzonych bezpośrednio przez analityków bezpieczeństwa – wyniosła 64, czyli o 60 proc. więcej niż w pierwszym kwartale. Co ciekawe, liczba krytycznych zdarzeń bezpieczeństwa pochodzących z adresów IP znajdujących się w Rosji w rzeczywistości spadła ponad ośmiokrotnie, prawdopodobnie z powodu zastosowania różnego rodzaju blokad.

Większość krytycznych zdarzeń w rzeczywistości pochodziła z adresów IP, które znajdowały się geograficznie w USA, chociaż należy zauważyć, że nie jest to podstawa do przypisania, a jedynie wskazanie, że cyberprzestępcy szukają najłatwiejszych możliwych ścieżek ataku. Rzeczywiście, jak stwierdzono w raporcie SCPC, większość zarejestrowanych incydentów cybernetycznych dotyczyła grup finansowanych przez rząd rosyjski, a ich akcje były wymierzone przeciwko organizacjom medialnym oraz władzom rządowym i lokalnym na Ukrainie.

•  Rosjanie, wbrew temu czego można się było spodziewać przed wybuchem konfliktu nie odnoszą jakiś spektakularnych sukcesów na cybernetycznym froncie. Można się tutaj doszukać analogii z siłą rażenia rosyjskich armii, która została wyraźnie przeszacowana. Co nie oznacza, że rosyjskie cyberataki można bagatelizować, cały czas stanowią one poważne zagrożenie. Duże znaczenie ma fakt, że Ukraińcy byli przygotowani na odparcie cybernetycznej ofensywy, bowiem zmagają się z rosyjskimi hakerami co najmniej od 2014 roku. W ciągu ośmiu lat zdążyli dobrze poznać metody stosowane przez wroga. - mówi Mariusz Politowicz z firmy Marken, dystrybutor rozwiązań Bitdefender w Polsce.

Natomiast jeśli chodzi o rodzaje zaobserwowanych zdarzeń cybernetycznych, zdecydowaną większość stanowiły próby dostarczenia złośliwego oprogramowania, głównie trojanów, programów typu adware lub spyware, keyloggerów i kradzieży informacji, przy czym ransomware miał w tym okresie mniejszy wpływ. Najczęściej obserwowanymi złośliwymi programami wykorzystywanymi przeciwko ukraińskim celom były Agent Tesla, XMRig, Formbook, GuLoader i Cobalt Strike.