Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Rosyjski CERT: Zagraniczni „cybernajemnicy” włamali się do rosyjskich agencji federalnych
Rosja to kraj o rozwiniętym potencjale cyberofensywnym, a żywym tego dowodem może być chociażby najgłośniejszy atak 2020 roku dokonany przez backdoor w oprogramowaniu SolarWinds. Warto pamiętać, że będąc „agresorem”, prędzej czy później będziemy musieli liczyć się z jakąś formą odpowiedzi, w myśl zasady: “„Oko za oko, ząb za ząb”. Rosja stara się również za wszelką cenę negować bycie ofiarą cyberataków, choć zdarzają się od tego wyjątki, takie jak chociażby najnowszy raport firmy Rostelecom-Solar i rosyjskiego NKTsKI (odpowiednik naszego CERT-u), który jest interesujący z co najmniej kilku powodów…
Kto stoi za atakami?
Już na samym wstępie możemy dowiedzieć się, że za atakami stoi zaawansowana technicznie grupa hakerska, która działa w interesach innego kraju:
„[…] ze względu na poziom wyszkolenia i kwalifikacji (zastosowane technologie i mechanizmy, szybkość i jakość wykonywanej przez nich pracy), skłaniamy się do klasyfikowania tej grupy hakerskiej jako cybernajemników realizujących interesy obcego państwa”.
Wart uwagi jest fakt, że ataki zostały odnotowane w 2020 roku, zaś sam raport opublikowano miesiąc po oficjalnej atrybucji ataku SolarWinds do rosyjskiego wywiadu zagranicznego. Choć Stany Zjednoczone zazwyczaj odgrywają rolę „ofiary”, jeśli chodzi o operacje w cyberprzestrzeni, to należy pamiętać, że mają one spory potencjał cyberofensywny, pozwalający na wykonanie ewentualnego odwetu:
Metody i przebieg ataków
Według badaczy celem atakujących było zbieranie poufnych informacji ze wszystkich możliwych źródeł, od dostępu do poczty po dokumenty znajdujące się na zainfekowanych stacjach roboczych:
Napastnicy wykorzystywali głównie trzy wektory ataku:
- spear phishing,
- wykorzystywanie luk w aplikacjach internetowych,
- hakowanie infrastruktury kontrahentów.
Same ataki zostały przeprowadzone dość „starannie” – tematy e-maili phishingowych były związane bezpośrednio z działalnością zaatakowanych instytucji lub z epidemią Covid-19. Adwersarze robili dokładny „research” na temat swojego celu, przez co część ataków odbywała się za pomocą przejętej infrastruktury „zaprzyjaźnionych” firm. W przypadku e-maili phishingowych infekcja odbywała się przy użyciu „złośliwego” makra w załączonym dokumencie:
Następnie hakerzy korzystali z dwóch nietypowych backdoorów: Mail-O oraz Webdav-O.
Mail-O pozwalał atakującym na wykonywanie następujących komend na zainfekowanym systemie:
- upload,
- download,
- setsleep,
- sleepuntil,
- quit.
Backdoor, jako serwer CnC (Command and Control), wykorzystywał Yandex.Disk (usługa, która pozwala użytkownikom na przechowywanie plików na serwerach „w chmurze” oraz na ich udostępnianie). Drugie złośliwe oprogramowanie, o nazwie Webdav-O, działało analogicznie do Mail-O – z tą różnicą, że rolę CnC odgrywał popularny rosyjski serwis pocztowy Mail.ru:
Według badaczy wykorzystanie znanych rosyjskich serwisów, takich jak Mail.ru czy Yandex.disk, do eksfiltracji danych było celowym posunięciem, mającym na celu zmylenie popularnego w Rosji produktu antywirusowego Kaspersky Anti-Virus, który w trakcie analizy ruchu sieciowego na zainfekowanym urządzeniu nie był w stanie wykryć żadnej „anomalii”. Atakujący korzystali również z innych narzędzi, takich jak chociażby Mimikatz:
~ Jakub Bielaszewski
Jacy zaraz najemnicy, „ich tam niet”. To zielone ludziki, zatroskani mieszkańcy okolicznych miast i wsi ;)
Rosja zaatakowana? Niemożliwe. Wszak przynajmniej w Polsce wiadomo że jak ktoś atakuje to tylko Rosja i Chiny. Na pewno sami się zaatakowali żeby zgrywać ofiary i zwalić winę na bidulki z Uesia albo Londek Zdroju! A w ogóle to na pewno wina Wladimira Wladimirowicza.
Sam zaatakował ze swojego ajfona.
;-E