Rosyjski wywiad bierze na cel ofiary szybkich cyberataków na całym świecie

Rosyjscy hakerzy państwowi prowadzą ukierunkowane kampanie phishingowe w co najmniej dziewięciu krajach na czterech kontynentach. Ich e-maile zachwalają oficjalne działania rządu, a jeśli się powiedzie, zagrażają nie tylko wrażliwym danym organizacyjnym, ale także wywiadowi geopolitycznemu o strategicznym znaczeniu.

Tak wyrafinowaną, wielowątkową intrygę mogła ułożyć tylko grupa tak płodna jak Fancy Bear (aka APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 i jeszcze wiele innych aliasów), które IBM X-Force śledzi jako ITG05 w nowy raport.

Oprócz przekonujących przynęt o tematyce rządowej i trzech nowych wariantów niestandardowych backdoorów, kampania wyróżnia się przede wszystkim informacjami, do których jest skierowana: wydaje się, że Fancy Bear ma na celu bardzo szczegółowe informacje, które mogą przydać się rosyjskiemu rządowi.

Rządowe przynęty phishingowe

Fancy Bear wykorzystał co najmniej 11 unikalnych przynęt w kampaniach skierowanych do organizacji w Argentynie, Ukrainie, Gruzji, Białorusi, Kazachstanie, Polsce, Armenii, Azerbejdżanie i Stanach Zjednoczonych.

Przynęty wyglądają jak oficjalne dokumenty powiązane z rządami międzynarodowymi i obejmujące tak szerokie tematy, jak finanse, infrastruktura krytyczna, zaangażowanie kadry kierowniczej, cyberbezpieczeństwo, bezpieczeństwo morskie, opieka zdrowotna i produkcja przemysłowa obronna.

Niektóre z nich to legalne, publicznie dostępne dokumenty. Inne, co ciekawe, wydają się być wewnętrzne dla konkretnych agencji rządowych, co rodzi pytanie, w jaki sposób Fancy Bear w ogóle dostał się w ich ręce.

„X-Force nie ma wglądu w to, czy ITG05 pomyślnie złamał bezpieczeństwo podszywających się organizacji” – zauważa Claire Zaboeva, łowczyni zagrożeń w IBM X-Force. „Ponieważ jest możliwe, że ITG05 wykorzystał nieautoryzowany dostęp do gromadzenia dokumentów wewnętrznych, powiadomiliśmy wszystkie naśladowane strony o tym działaniu przed publikacją w ramach naszej Polityki odpowiedzialnego ujawniania informacji”.

Alternatywnie Fancy Bear/ITGO5 mógł jedynie imitować prawdziwe pliki. „Na przykład niektóre z ujawnionych dokumentów zawierają zauważalne błędy, takie jak błędna pisownia nazw głównych stron w pozornie oficjalnych kontraktach rządowych” – stwierdziła.

Potencjalny motyw?

Kolejną ważną cechą tych przynęt jest to, że są dość specyficzne.

Przykłady w języku angielskim obejmują dokument dotyczący polityki cyberbezpieczeństwa wydany przez gruzińską organizację pozarządową oraz styczniowy plan podróży zawierający szczegółowe informacje dotyczące spotkania i ćwiczeń Bell Buoy (XBB2024) na rok 24 dla uczestników Grupy Roboczej Marynarki Wojennej Stanów Zjednoczonych ds. Żeglugi na Pacyfiku i Oceanie Indyjskim (PACIOSWG).

Są też przynęty o tematyce finansowej: białoruski dokument zawierający zalecenia dotyczące stworzenia warunków handlowych ułatwiających międzypaństwową przedsiębiorczość do 2025 roku, zgodnie z inicjatywą Euroazjatyckiej Unii Gospodarczej, dokument dotyczący polityki budżetowej Argentyny Ministerstwa Gospodarki zawierający „strategiczne wytyczne” dotyczące wspierania prezydenta z narodową polityką gospodarczą i nie tylko w tym kierunku.

„Prawdopodobnie gromadzenie wrażliwych informacji dotyczących problemów budżetowych i stanu bezpieczeństwa podmiotów globalnych jest celem o wysokim priorytecie, biorąc pod uwagę ustaloną przestrzeń misji ITG05” – stwierdził X-Force w swoim raporcie z kampanii.

Na przykład Argentyna niedawno odrzuciła zaproszenie do przyłączenia się do organizacji handlowej BRICS (Brazylia, Rosja, Indie, Chiny, Republika Południowej Afryki), więc „jest możliwe, że ITG05 stara się uzyskać dostęp, który może zapewnić wgląd w priorytety rządu argentyńskiego ”- powiedział X-Force.

Działalność poeksploatacyjna

Oprócz specyfiki i pozorów legalności napastnicy stosują jeszcze jeden psychologiczny trik, aby usidlić ofiary: przedstawiając im początkowo jedynie niewyraźną wersję dokumentu. Podobnie jak na poniższym obrazku, odbiorcy widzą wystarczająco dużo szczegółów, aby stwierdzić, że te dokumenty wydają się oficjalne i ważne, ale nie na tyle, aby uniknąć konieczności ich klikania.

Przykładowy dokument dotyczący przynęty; Źródło: IBM

Kiedy ofiary na stronach kontrolowanych przez osoby atakujące klikają, aby wyświetlić dokumenty przynęty, pobierają backdoora w języku Python o nazwie „Masepie”. Odkryty po raz pierwszy w grudniu, potrafi ustanowić trwałość na komputerze z systemem Windows i umożliwić pobieranie i przesyłanie plików oraz wykonywanie dowolnych poleceń.

Jednym z plików, które Masepie pobiera na zainfekowane maszyny, jest „Oceanmap”, narzędzie oparte na języku C# służące do wykonywania poleceń za pośrednictwem protokołu IMAP (Internet Message Access Protocol). Oryginalny wariant Oceanmap – a nie ten użyty tutaj – miał funkcję kradzieży informacji, która została usunięta i przeniesiona do „Steelhook”, innego ładunku pobranego przez Masepie, powiązanego z tą kampanią.

Steelhook to skrypt PowerShell, którego zadaniem jest wydobywanie danych z Google Chrome i Microsoft Edge za pośrednictwem webhooka.

Bardziej godna uwagi niż szkodliwe oprogramowanie jest natychmiastowość działania Fancy Bear. Jak pierwszy opisany przez ukraiński zespół reagowania na incydenty komputerowe (CERT-UA), infekcje Fancy Bear już w pierwszej godzinie lądowania na zaatakowanej maszynie, pobieranie backdoorów oraz przeprowadzanie rozpoznania i ruchu bocznego za pomocą skradzionych skrótów NTLMv2 na potrzeby ataków przekaźnikowych.

Potencjalne ofiary muszą zatem działać szybko lub, jeszcze lepiej, przygotować się z wyprzedzeniem na infekcję. Mogą to zrobić, postępując zgodnie z zaleceniami IBM: monitorowanie wiadomości e-mail z adresami URL obsługiwanymi przez dostawcę hostingu Fancy Bear, firmę FirstCloudIT, oraz podejrzany ruch IMAP do nieznanych serwerów, eliminując ulubione luki w zabezpieczeniach — takie jak CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – i wiele więcej.

„ITG05 będzie w dalszym ciągu wykorzystywać ataki na rządy światowe i ich aparat polityczny, aby zapewnić Rosji zaawansowany wgląd w pojawiające się decyzje polityczne” – podsumowali badacze.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks