Specjaliści z firmy Anomali poinformowali pod koniec 2019 roku o wykryciu zakrojonej na szeroką skalę operacji cyberprzestępczej, której celem jest wykradanie danych uwierzytelniających do najróżniejszych rządowych usług i systemów informatycznych państw z całego globu. Na celowniku znalazły się m.in. instytucje rządowe z Australii, Chin, Kanady, Szwecji oraz USA.
Do tej pory specjaliści namierzyli 22 różne instytucje i agencje rządowe, których pracownicy zostali zaatakowani. We wszystkich przypadkach modus operandi przestępców był bardzo zbliżony – do adresatów trafiały wiadomości e-mail podszywające się pod oficjalną korespondencję urzędową, a jednocześnie – zachęcające użytkowników do kliknięcia na odnośnik prowadzący do sfałszowanej strony logowania danej instytucji. Jeśli pracownik danej instytucji dał się oszukać i spróbował zalogować się do wykorzystywanego systemu przez spreparowaną witrynę, przestępcy przejmowali wprowadzony tam login i hasło, uzyskując w ten sposób dostęp do konta, a potencjalnie wrażliwych danych.
Wiadomo, że operacja została starannie zaplanowana i prowadzona bardzo metodycznie – przestępcy starannie wybierają swoje cele zarówno jeśli chodzi o atakowane instytucje, jak i konkretnych użytkowników. Bardzo dbają również o to, by fałszywe wiadomości wyglądały jak najbardziej autentycznie. Wiadomości takie pisane są w odpowiednim języku (dopasowanym do krajów, w których rezydują ich adresaci), są poprawnie sformułowane i poruszają kwestie, które faktycznie wydają się dotyczyć bieżących spraw danej instytucji (np. prowadzonych aktualnie przetargów). Podobnie strony logowania, do których odwiedzenia zachęcają e-maile, podrobione są bardzo starannie i mogą łatwo zmylić wielu użytkowników.
Nie wiadomo za to na razie, kto może być odpowiedzialny za całą operację. Choć eksperci firmy Anomali od dłuższego czasu analizują sytuacją, eto dotąd nie byli w stanie pozyskać jakichkolwiek informacji o autorach ataku – może to być zarówno jedna z wielu aktywnych obecnie grup hakerskich, jak i np. wywiad informatyczny któregoś ze światowych mocarstw. Jedynym tropem są domeny, do których kierują sfałszowane strony logowania – tu tropy prowadzą do Turcji i Rumunii. Wątpliwe jednak, aby był to właściwy trop. Dodatkowo, do tej pory udało się zbadać zaledwie połowę wykorzystywanych przez przestępców domen.
Z analiz Anomali wynika, że do tej pory najwięcej ataków skierowanych było przeciwko instytucjom amerykańskim – na liście celów znalazły się m.in. Departament Energii, Departament Handlu i Departament Spraw Weteranów. Co istotne, choć celem zdecydowanej większości ataków były instytucje rządowe, to niewielka część z nich wymierzona była w prywatne organizacje – głównie firmy zajmujące się logistyką na zlecenie instytucji państwowych.
Więcej informacji znaleźć można w opracowaniu dostępnym na stronie firmy Anomali
