Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!

Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!

Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej

USA oferują do $10 mln za wskazanie osób powiązanych z rosyjskimi grupami UNC5792 oraz UNC4221

15 lipca 2026, 14:46 | W biegu | 0 komentarzy

O atakach na popularne komunikatory internetowe (Signal, WhatsApp) pisaliśmy wielokrotnie na łamach sekuraka. I choć nasi czytelnicy zapewne wiedzą, jakie zagrożenia niosą za sobą złośliwe kody QR lub udostępnianie haseł bezpieczeństwa, to lista osób pokrzywdzonych z dnia na dzień wzrasta.

TLDR:

  • Rząd USA ogłosił nagrodę wynoszącą do 10 milionów dolarów za udzielenie informacji prowadzących do identyfikacji członków grup UNC5792 oraz UNC4221.
  • Grupy te stoją za kampaniami wymierzonymi w użytkowników komunikatorów Signal oraz WhatsApp.
  • Ich metody działania opierają się na zaawansowanej socjotechnice oraz precyzyjnym rozpoznaniu celu.
  • Na liście potencjalnych celów znajdują się m.in. politycy, dyplomaci, dziennikarze oraz osoby zajmujące wysokie stanowiska w strukturach NATO.
  • Zgodnie z informacjami opublikowanymi przez FBI oraz CISA działania cyberprzestępców są koordynowane przez rosyjskie służby specjalne.

Mogłoby się wydawać, że cyberprzestępcy przełamali protokół Signala lub znaleźli luki bezpieczeństwa w komunikatorach, gwarantujące dostęp do konta użytkownika. A co za tym idzie wysoki procent skutecznych ataków jest wynikiem skomplikowanych działań. Nic jednak bardziej mylnego. Cyberprzestępcy wykorzystują głównie socjotechnikę oraz dobre rozpoznanie celu. Rzadko korzystają z masowych ataków, skupiając się przede wszystkim na precyzyjnych działaniach.

Na liście potencjalnych celów znajdują się m.in:

  • urzędnicy państwowi, personel dyplomatyczny,
  • pracownicy sektora obronnego i bezpieczeństwa narodowego,
  • urzędnicy i dyplomaci państw członkowskich NATO,
  • dziennikarze działający na kierunku Rosji oraz Ukrainy.

Patrząc na charakter informacji oraz stanowiska zajmowane przez atakowane osoby, można się domyślać, że za działaniami nie stoją “przypadkowi cyberzbóje”, tylko profesjonalne grupy posiadający niezbędne siły i środki do realizacji tego typu operacji. Często grupy te działają pod wpływem inspiracji obcych służb specjalnych lub są przez nich bezpośrednio finansowani. A jeżeli dodamy, że cyberprzestępcy posługują się językiem rosyjskim to obraz sytuacji staje się coraz bardziej wyraźny. 

Wszystkie poszlaki wskazują na działania realizowane przez rosyjskie służby specjalne, a mówiąc precyzyjnie grupy UNC5792 oraz UNC4221. Zgodnie z informacjami opublikowanymi przez FBI oraz CISA grupy te stanowią zaplecze cybernetyczne dla FSB (Federalnej Służby Bezpieczeństwa) oraz GRU (Wywiadu Wojskowego).

Temat stał się na tyle poważny, że rząd USA postanowił nagrodzić kwotą do 10 milionów dolarów każdego, kto udzieli informacji prowadzących do identyfikacji osób powiązanych z rosyjskimi grupami. Na pierwszy rzut oka nagroda może robić wrażenie. Jeżeli jednak weźmiemy pod uwagę sukcesy grup oraz charakter informacji, do których cyberprzestępcy zyskują dostęp, kwota nie powinna budzić emocji. Zwłaszcza, że chodzi o informacje o znaczeniu strategicznym.

Warto dodać, że w najnowszych odsłonach kampanii analitycy zaobserwowali próby wyłudzania kluczy odzyskiwania kopii zapasowej (Backup Recovery Keys). Posiadanie takich informacji w połączeniu z zaszyfrowanym plikiem bazy danych, pozwala cyberprzestępcom na odszyfrowanie i uzyskanie pełnego dostępu do archiwum historycznych konwersacji.

Biorąc pod uwagę liczbę aktywnych użytkowników komunikatorów Signal oraz WhatsApp, na działania cyberzbójów narażone są dziś miliony osób. Chociaż wykryte kampanie dotyczyły przede wszystkim osób zajmujących kluczowe stanowiska, niewykluczone że metody te zostaną zaadoptowane przez mniej zaawansowane grupy cyberprzestępcze oraz wykorzystane w atakach na masową skalę. 

W tej sytuacji jedną ze skutecznych linii obrony jest świadomość faktu realizacji takich działań oraz krytyczne podejście do kwestii udostępniania wrażliwych danych (haseł, kodów PIN, czy kluczy bezpieczeństwa). Warto również regularnie monitorować listę podłączonych urządzeń w ustawieniach komunikatora. Jeżeli na liście pojawi się sprzęt, którego nie rozpoznajemy należy go jak najszybciej usunąć.

Źródło: ic3.gov, rewardsforjustice.net  

~_secmike

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz