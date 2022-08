Od czasu ataku Rosji na Ukrainę rosyjscy cyberprzestępcy wzmogli swoje działania. Przygląda się temu wiele firm zajmujących się cyberbezpieczeństwem, w tym Google – za pośrednictwem grupy TAG.

W związku z wojną na Ukrainie Grupa Analizowania Zagrożeń Google (TAG) dokładnie monitoruje środowisko cyberbezpieczeństwa w Europie Środkowo-Wschodniej. Wiele rosyjskich zasobów APT (advanced persistent threat – zagrożenia informatyczne sponsorowane przez rządy) od początku inwazji koncentrowało się na Ukrainie i związanych z nią kwestiach, podczas gdy rosyjska aktywność poza Ukrainą w dużej mierze pozostała taka sama. TAG stara się przeszkadzać w kampaniach wielu wspieranych przez rosyjski rząd grup przestępczych. Wiele z tych działań zostało szczegółowo opisanych na stronie Grupy.

Rosyjskie działania dezinformacyjne także skupiają się głównie na wojnie z Ukrainą. TAG przeszkodził już w skoordynowanych operacjach wpływu kilku rosyjskich podmiotów, w tym petersburskiej Agencji Badań Internetowych i pewnej firmy konsultingowej. Większość tych akcji to działania w języku rosyjskim, mające na celu zapewnienie poparcia dla wojny wśród środowisk w Rosji.

Kilka szczegółów z działalności TAG

Grupa cyberprzestępców Turla, którą najprawdopodobniej nadzoruje rosyjska Federalna Służba Bezpieczeństwa (FSB), niedawno hostowała złośliwe aplikacje na Androida w domenie podszywającej się pod ukraiński pułk „Azow”. Jest to pierwszy znany przypadek, kiedy grupa Turla rozpowszechnia złośliwe oprogramowanie przeznaczone na urządzenia z Androidem. Aplikacje nie były dystrybuowane za pośrednictwem sklepu Google Play, ale hostowane w domenie kontrolowanej przez przestępców i rozpowszechniane za pomocą linków przesyłanych w różnego typu wiadomościach elektronicznych. TAG uważa, że nie miało to większego wpływu na użytkowników Androida, a liczba instalacji była znikoma.

Aplikacja była rozpowszechniana jako rzekome narzędzie przeprowadzania ataków typu Denial of Service (DoS) na rosyjskie witryny internetowe. Jednak „DoS” składał się tylko z pojedynczego żądania GET skierowanego do docelowej strony internetowej, co nie zapewnia żadnej skuteczności. Listę stron docelowych dla aplikacji można zobaczyć w profilu CyberChef na GitHubie.

Podczas dochodzenia w sprawie oprogramowania CyberAzov grupy Turla specjaliści z TAG zidentyfikowali inną aplikację na Androida, która po raz pierwszy pojawiła się w sieci w marcu 2022 r. i też miała rzekomo służyć do przeprowadzania ataków DoS na rosyjskie strony internetowe. Aplikacja nazywała się stopwar.apk (com.ddos.stopwar) i była rozpowszechniana ze strony internetowej stopwar.pro. To oprogramowanie różni się znacznie od aplikacji grupy Turla opisanej powyżej i zostało napisane przez innego programistę. Również pobiera listę celów z zewnętrznej witryny, ale w przeciwieństwie do programu Turla, wysyła żądania do docelowych witryn bez przerwy, dopóki nie zostanie zatrzymane przez użytkownika.

Grupa TAG twierdzi, że aplikacja StopWar została opracowana przez proukraińskich programistów i była inspiracją dla cyberprzestępców z Turli, gdy tworzyli oni swoją fałszywą aplikację CyberAzov DoS.

Inne zagrożenia związane z rosyjską inwazją na Ukrainę

Pod koniec maja w narzędziu Microsoft Windows Support Diagnostic Tool (MSDT) ujawniono lukę Follina (CVE-2022-30190), która była szeroko wykorzystywana przez niezorganizowanych cyberprzestępców oraz grupy APT. Follina umożliwiała zdalne wykonanie kodu (RCE) i w czerwcu została załatana przez Microsoft.

Opierając się na raportach CERT-UA, TAG zaobserwowała, że rosyjskie grupy cyberprzestępcze powiązane z wywiadem wojskowym (GRU) – APT28 i Sandworm – prowadziły kampanie wykorzystujące lukę Follina. Grupa Sandworm za pomocą przejętych kont pocztowych należących do ukraińskiego rządu wysyłała linki do zainfekowanych dokumentów Microsoft Office hostowanych na skompromitowanych serwerach, atakując głównie ukraińskie media.

TAG zaobserwowała również rosnącą liczbę podmiotów najprawdopodobniej atakujących Ukrainę dla pieniędzy. Jedna z ostatnich kampanii grupy śledzonej przez CERT-UA znanej jako UAC-0098 polegała na rozsyłaniu zainfekowanych dokumentów w archiwach chronionych hasłem, podszywając się pod Państwową Służbę Podatkową Ukrainy. Szkodliwy kod w nich zawarty wykorzystywał exploita Follina do przejęcia kontroli nad urządzeniem. Według TAG UAC-0098 w przeszłości zajmował się infekowaniem firmowych komputerów oprogramowaniem ransomware i współpracował z grupą Conti dystrybuującą trojana bankowego IcedID. Specjaliści z Google twierdzą tak na podstawie badań, z których wynika, że obie grupy korzystały z tej samej infrastruktury, narzędzi używanych w innych kampaniach i unikalnego programu szyfrującego.

Ghostwriter/UNC1151 to z kolei cyberprzestępca pochodzący prawdopodobnie z Białorusi, nadal aktywnie atakujący konta poczty elektronicznej i sieci społecznościowych polskich użytkowników. Wciąż korzysta on z techniki phishingowej „Przeglądarka w przeglądarce”, którą TAG po raz pierwszy zaobserwowała i opisała w marcu.

Coldriver to grupa rosyjskich cyberprzestępców czasami nazywana Callisto, wysyłająca phishingowe e-maile do ukraińskich urzędników państwowych, w tym do resortu obrony, do polityków, organizacji pozarządowych i think tanków oraz dziennikarzy. Oprócz umieszczania linków phishingowych bezpośrednio w wiadomości Coldriver wysyła również linki do plików PDF i/lub dokumentów DOC przechowywanych na Dysku Google i Microsoft One Drive, które zawierają łącza do domeny phishingowej kontrolowanej przez przestępców. W co najmniej jednym przypadku niezwiązanym z Ukrainą, członkowie grupy ujawnili informacje z zaatakowanego konta. Wspomniane domeny phishingowe zostały zablokowane przez Bezpieczne przeglądanie Google – usługę, która identyfikuje niebezpieczne witryny w sieci i powiadamia użytkowników oraz właścicieli stron o potencjalnych szkodach.

Grupa TAG przeanalizowała też inną złośliwą operację wyśledzoną przez CERT-UA i nazwaną UAC-0056, w której skompromitowane adresy e-mail Prokuratury Regionalnej Ukrainy były wykorzystywane do wysyłania złośliwych dokumentów Microsoft Excel. W ciągu zaledwie dwóch dni liczba wysłanych z tych adresów e-maili i sklasyfikowanych przez Gmaila jako spam przekroczyła 4500. Treść wiadomości obejmowała różną tematykę – od polityki szczepień przeciwko COVID-19 po kryzys humanitarny na Ukrainie.

Źródło: TAG