O kampanii szpiegowskiej poinformowały Służba Kontrwywiadu Wojskowego oraz zespół CERT Polska. „Infrastruktura, wykorzystane techniki oraz narzędzia, częściowo lub całkowicie, pokrywa się z opisywanymi w przeszłości zbiorami aktywności określanymi przez Microsoft jako „NOBELIUM” (oraz przez Mandiant jako „APT29” (grupa hakerska atakująca jednostki rządowe, powiązana z rosyjskim wywiadem – red.). – czytamy w raporcie.
Rosyjska kampania szpiegowska. Maile udające korespondencję dyplomatyczną
W raporcie czytamy, że we wszystkich zaobserwowanych przypadkach aktor korzystał z techniki „spear phishingu” (wyrafinowana metoda ataku, stwarzająca wrażenie spersonalizowanej wiadomości – red.). Do wybranych pracowników placówek dyplomatycznych trafiły e-maile podszywające się pod ambasady krajów europejskich. Korespondencja zawierała zaproszenie na spotkanie lub do wspólnej pracy nad dokumentami. W treści wiadomości lub w załączonym dokumencie PDF zawarty był odnośnik, który rzekomo kierował do kalendarza ambasadora, szczegółów spotkania lub pliku do pobrania. Jedna z wiadomości podszywała się pod polską ambasadę i nakłaniała użytkownika do kliknięcia w złośliwy link. Odnośnik kierował do przejętej strony.
Choć hakerzy używali zmodyfikowanych narzędzi, część motywów kampanii jest powtarzalna, np. motyw przewodni wiadomości e-mail. Wszystkie pozyskane wiadomości użyte w kampaniach wykorzystywały motyw korespondencji pomiędzy podmiotami dyplomatycznymi. Wiadomości zawierały także link do narzędzia ENVYSCOUT – złośliwego pliku, który wykorzystuje kombinację HTML i JavaScript do próby załadowania specjalnego obrazu z serwera zewnętrznego.
„SKW oraz CERT.PL wszystkim podmiotom mogącym znajdować się w obszarze zainteresowania aktora wdrożenie zmian konfiguracyjnych mających na celu przerwanie mechanizmu dostarczenia, który był używany w opisywanej kampanii” – czytamy w raporcie. Adresatami ataku mogą być w szczególności podmioty rządowe, podmioty dyplomatyczne, ministerstwa spraw zagranicznych, ambasady, personel dyplomatyczny i pracujący w podmiotach międzynarodowych, organizacje międzynarodowe i pozarządowe.
Czytaj też:
Przestępcze AI. Rosyjscy hakerzy korzystają z ChatGPTCzytaj też:
Macki oszustów sięgają coraz dalej. Wpadka Andrzeja Dudy to początek długiej listy