-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Rosyjski CERT: Zagraniczni „cybernajemnicy” włamali się do rosyjskich agencji federalnych

24 maja 2021, 23:16 | W biegu | komentarze 2
Tagi: , ,

Rosja to kraj o rozwiniętym potencjale cyberofensywnym, a żywym tego dowodem może być chociażby najgłośniejszy atak 2020 roku dokonany przez backdoor w oprogramowaniu SolarWinds. Warto pamiętać, że będąc „agresorem”, prędzej czy później będziemy musieli liczyć się z jakąś formą odpowiedzi, w myśl zasady: “„Oko za oko, ząb za ząb”. Rosja stara się również za wszelką cenę negować bycie ofiarą cyberataków, choć zdarzają się od tego wyjątki, takie jak chociażby najnowszy raport firmy Rostelecom-Solar i rosyjskiego NKTsKI (odpowiednik naszego CERT-u), który jest interesujący z co najmniej kilku powodów…

Kto stoi za atakami?

Już na samym wstępie możemy dowiedzieć się, że za atakami stoi zaawansowana technicznie grupa hakerska, która działa w interesach innego kraju:

 „[…] ze względu na poziom wyszkolenia i kwalifikacji (zastosowane technologie i mechanizmy, szybkość i jakość wykonywanej przez nich pracy), skłaniamy się do klasyfikowania tej grupy hakerskiej jako cybernajemników realizujących interesy obcego państwa”.

Wart uwagi jest fakt, że ataki zostały odnotowane w 2020 roku, zaś sam raport  opublikowano miesiąc po oficjalnej atrybucji ataku SolarWinds do rosyjskiego wywiadu zagranicznego. Choć Stany Zjednoczone zazwyczaj odgrywają rolę „ofiary”, jeśli chodzi o operacje w cyberprzestrzeni, to należy pamiętać, że mają one spory potencjał cyberofensywny, pozwalający na wykonanie ewentualnego odwetu:

Metody i przebieg ataków

Według badaczy celem atakujących było zbieranie poufnych informacji ze wszystkich możliwych źródeł, od dostępu do poczty po dokumenty znajdujące się na zainfekowanych stacjach roboczych:

Napastnicy wykorzystywali głównie trzy wektory ataku:

  • spear phishing,
  • wykorzystywanie luk w aplikacjach internetowych,
  • hakowanie infrastruktury kontrahentów.

Same ataki zostały przeprowadzone dość „starannie” – tematy e-maili phishingowych były związane bezpośrednio z działalnością zaatakowanych instytucji lub z epidemią Covid-19. Adwersarze robili dokładny „research” na temat swojego celu, przez co część ataków odbywała się za pomocą przejętej infrastruktury „zaprzyjaźnionych” firm. W przypadku e-maili phishingowych infekcja odbywała się przy użyciu „złośliwego” makra w załączonym dokumencie:

Następnie hakerzy korzystali z dwóch nietypowych backdoorów: Mail-O oraz Webdav-O.

Mail-O pozwalał atakującym na wykonywanie następujących komend na zainfekowanym systemie:

  • upload,
  • download,
  • setsleep, 
  • sleepuntil,
  • quit. 

Backdoor, jako serwer CnC (Command and Control), wykorzystywał Yandex.Disk (usługa, która pozwala użytkownikom na przechowywanie plików na serwerach „w chmurze” oraz na ich udostępnianie). Drugie złośliwe oprogramowanie, o nazwie Webdav-O, działało analogicznie do Mail-O – z tą różnicą, że rolę CnC odgrywał popularny rosyjski serwis pocztowy Mail.ru:

Według badaczy wykorzystanie znanych rosyjskich serwisów, takich jak Mail.ru czy Yandex.disk, do eksfiltracji danych było celowym posunięciem, mającym na celu zmylenie popularnego w Rosji produktu antywirusowego Kaspersky Anti-Virus, który w trakcie analizy ruchu sieciowego na zainfekowanym urządzeniu nie był w stanie wykryć żadnej „anomalii”. Atakujący korzystali również z innych narzędzi, takich jak chociażby Mimikatz:

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomasz

    Jacy zaraz najemnicy, „ich tam niet”. To zielone ludziki, zatroskani mieszkańcy okolicznych miast i wsi ;)

    Odpowiedz
  2. zero one

    Rosja zaatakowana? Niemożliwe. Wszak przynajmniej w Polsce wiadomo że jak ktoś atakuje to tylko Rosja i Chiny. Na pewno sami się zaatakowali żeby zgrywać ofiary i zwalić winę na bidulki z Uesia albo Londek Zdroju! A w ogóle to na pewno wina Wladimira Wladimirowicza.
    Sam zaatakował ze swojego ajfona.

    ;-E

    Odpowiedz

Odpowiedz na zero one