Raport Google TAG: Cyberprzestępcy powiązani z Rosją i Białorusią nie ustają w cyberatakach, także na Polskę

Działający w Google zespół  ds. analizy zagrożeń (Threat Analysis Group – TAG), opublikował najnowszy raport dotyczący zaobserwowanych w ostatnim czasie działań cyberprzestępców. Wśród nich znalazły się m.in. aplikacje na Androida grupy hakerów powiązanych z rosyjską Federalną Służbą Bezpieczeństwa czy ataki na polskie skrzynki poczty internetowej.

Od początku wojny w Ukrainie zespół TAG monitoruje aktywność cyberprzestępców, ze szczególną uwagą na działania w regionie Europy Środkowo-Wschodniej. Jak informują przedstawiciele Google, skutecznie zakłóca on także kampanie prowadzone przez grupy cyberprzestępców wspierane przez rosyjski rząd (są one opisane w poprzednich raportach TAG). W ostatnim czasie TAG zakłócił np. skoordynowane operacje kilku podmiotów, w tym podmiotu znanego pod nazwą Agencji Badań Internetowych (IRA) oraz rosyjskiej firmy konsultingowej. Jak się okazuje, większość z tych operacji jest rosyjskojęzyczna i ma na celu zapewnienie wewnętrznego wsparcia dla wojny w Rosji.

Poniżej prezentujemy najnowszy raport zespołu TAG w Google dotyczący zaobserwowanych w ostatnim czasie działań cyberprzestępców:

• Turla, grupa publicznie określana jako powiązana z rosyjską Federalną Służbą Bezpieczeństwa (FSB), podjęła niedawno próby rozprowadzania aplikacji na Androida za pośrednictwem strony podszywającej się pod ukraiński Pułk “Azow”. Aplikacje nie były dystrybuowane za pośrednictwem sklepu Google Play, ale hostowane w domenie kontrolowanej przez grupę Turla i rozpowszechniane za pośrednictwem linków rozsyłanych przez komunikatory. TAG ocenia, że działania te nie miały większego wpływu na użytkowników Androida, a liczba instalacji tych aplikacji była znikoma.
  Aplikacje te udawały programy stworzone do generowania ataków DoS (ang. Denial of Service) na rosyjskie strony internetowe. Na podstawie analiz, zespół TAG uważa, że inspiracją dla fałszywej aplikacji CyberAzov DoS przygotowanej przez grupę Turla była aplikacja StopWar, która została opracowana przez proukraińskich programistów.
• Luka bezpieczeństwa o nazwie Follina, ujawniona po raz pierwszy pod koniec maja, była w czerwcu szeroko wykorzystywana przez grupy cyberprzestępców prowadzających ataki i APT, zanim została załatana przez Microsoft. Follina to usterka umożliwiająca zdalne wykonanie kodu w narzędziu diagnostycznym w Microsoft Windows. Nawiązując do raportów publikowanych przez ukraiński zespół cyberbezpieczeństwa CERT-UA, zespół TAG zaobserwował również, że wiele grup powiązanych z rosyjską służbą GRU – w tym grupy hakerskie APT28 i Sandworm – prowadziło działania wykorzystujące lukę Follina. Sandworm m.in. wykorzystywał przejęte przez nich skrzynki pocztowe instytucji publicznych do wysyłania linków do dokumentów Microsoft Office hostowanych na domenach utworzonych przez grupy cyberprzestępcze, atakując w ten sposób głównie media i organizacje dziennikarskie w Ukrainie. TAG zaobserwował również rosnącą liczbę ataków na Ukrainę motywowanych finansowo. W ramach jednej z ostatnich kampanii, grupa określana przez CERT-UA jako UAC-0098, dostarczyła zainfekowane dokumenty z wykorzystaniem luki Follina w archiwach chronionych hasłem, podszywając się pod Państwową Służbę Podatkową Ukrainy.
• Ghostwriter/UNC1151, cyberprzestępcza grupa powiązana z Białorusią, nadal aktywnie atakuje konta poczty internetowej i sieci społecznościowych użytkowników z Polski.
• COLDRIVER, grupa przeprowadzająca swoje ataki z terytorium Rosji i znana również jako Callisto, nadal wysyła e-maile phishingowe (mające na celu wykradzenie danych logowania), głównie do urzędników państwowych i funkcjonariuszy sił zbrojnych, polityków, organizacji pozarządowych i think tanków oraz dziennikarzy. W co najmniej jednym przypadku, niezwiązanym z Ukrainą, ujawnili oni informacje z zaatakowanego konta. W sytuacji kiedy e-maile te odsyłają do dokumentów hostowanych w domenach tworzonych przez cyberprzestępców, są one blokowane przez usługę Google Safe Browsing.
• W innej kampanii oznaczanej jako UAC-0056 zespół TAG zaobserwował, że cyberprzestępcy przejęli adresy e-mail ukraińskiej Prokuratury Regionalnej i wykorzystywali je do wysyłania złośliwych dokumentów Microsoft Excel z makrami VBA dostarczającymi Cobalt Strike. W ciągu zaledwie dwóch dni liczba wiadomości zaobserwowanych i sklasyfikowanych jako spam przez Gmaila przekroczyła 4500 e-maili, a tematy maili dotyczyły m.in. szczepionek przeciwko COVID-19 i kryzysu humanitarnego.