Fałszywe zaproszenia od rosyjskich służb. Podszywały się pod polską ambasadę

Dodano:
Laptop, zdjęcie ilustracyjne Źródło: Shutterstock / Tero Vesalainen
Rosyjskie służby specjalne prowadzą szeroko zakrojoną akcję, której celem jest pozyskiwanie informacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych. Cele kampanii znajdują się w państwach NATO, UE i w mniejszym stopniu w Afryce.

O kampanii szpiegowskiej poinformowały Służba Kontrwywiadu Wojskowego oraz zespół CERT Polska. „Infrastruktura, wykorzystane techniki oraz narzędzia, częściowo lub całkowicie, pokrywa się z opisywanymi w przeszłości zbiorami aktywności określanymi przez Microsoft jako „NOBELIUM” (oraz przez Mandiant jako „APT29” (grupa hakerska atakująca jednostki rządowe, powiązana z rosyjskim wywiadem – red.). – czytamy w raporcie.

Rosyjska kampania szpiegowska. Maile udające korespondencję dyplomatyczną

W raporcie czytamy, że we wszystkich zaobserwowanych przypadkach aktor korzystał z techniki „spear phishingu” (wyrafinowana metoda ataku, stwarzająca wrażenie spersonalizowanej wiadomości – red.). Do wybranych pracowników placówek dyplomatycznych trafiły e-maile podszywające się pod ambasady krajów europejskich. Korespondencja zawierała zaproszenie na spotkanie lub do wspólnej pracy nad dokumentami. W treści wiadomości lub w załączonym dokumencie PDF zawarty był odnośnik, który rzekomo kierował do kalendarza ambasadora, szczegółów spotkania lub pliku do pobrania. Jedna z wiadomości podszywała się pod polską ambasadę i nakłaniała użytkownika do kliknięcia w złośliwy link. Odnośnik kierował do przejętej strony.

Choć hakerzy używali zmodyfikowanych narzędzi, część motywów kampanii jest powtarzalna, np. motyw przewodni wiadomości e-mail. Wszystkie pozyskane wiadomości użyte w kampaniach wykorzystywały motyw korespondencji pomiędzy podmiotami dyplomatycznymi. Wiadomości zawierały także link do narzędzia ENVYSCOUT – złośliwego pliku, który wykorzystuje kombinację HTML i JavaScript do próby załadowania specjalnego obrazu z serwera zewnętrznego.

„SKW oraz CERT.PL wszystkim podmiotom mogącym znajdować się w obszarze zainteresowania aktora wdrożenie zmian konfiguracyjnych mających na celu przerwanie mechanizmu dostarczenia, który był używany w opisywanej kampanii” – czytamy w raporcie. Adresatami ataku mogą być w szczególności podmioty rządowe, podmioty dyplomatyczne, ministerstwa spraw zagranicznych, ambasady, personel dyplomatyczny i pracujący w podmiotach międzynarodowych, organizacje międzynarodowe i pozarządowe.

Źródło: gov.pl, cydonis.com
Proszę czekać ...

Proszę czekać ...

Proszę czekać ...

Proszę czekać ...