Threat Analysis Group zespołu Google śledzi działania cyberprzestępców wycelowane w struktury ukraińskie. Finansowo motywowani hakerzy związani z Rosją należeli do gangu o nazwie Conti, który w maju sparaliżował rząd Kostaryki.
Doniesienia TAG
W toku wojny na Ukrainie Threat Analisys Group śledzi coraz większą liczbę cyberprzestępców, których działania są powiązane z napastnikami wspieranymi przez rosyjski rząd. Część tych wskaźników, według TAG wskazuje, że poszukiwany przez CERT-UA (Ukraiński Krajowy Zespół Reagowania na Incydenty Komputerowe) cyberprzestępca o oznaczeniu UAC-0098 może być osobą lub zespołem osób wchodzących wcześniej w skład gangu Conti (znany też pod nazwami FIN12 oraz WIZARD SPIDER). Grupa ta korzystała z oprogramowania ransomware, którego celem jest blokowanie treści na komputerze, a potem żądanie okupu za przywrócenie go do oryginalnego stanu. W maju ataki Conti na komputery przedstawicieli władz w Kostaryce nabrały takiej skali, że prezydent Chaves oświadczył, iż: „Jesteśmy w stanie wojny (przeciw hakerom przyp.red.) i to nie jest przesada”
Również kiedy na Ukrainie rozgorzała w zupełności fizyczna wojna wywołana przez Rosję, stale obecne były ruchy grup haktywistycznych i jawnie zatrudnionych przez rządy różnych stron do prowadzenia wojny elektronicznej. Jedną z takich grup był właśnie gang Conti, który już w pierwszych dniach wojny zadeklarował pełne poparcie dla agendy Władimira Putina i rosyjskiego rządu. Jednym z ich postulatów była groźba przeprowadzenia serii cyberataków na krytyczną infrastrukturę wszystkich, którzy przeprowadziliby wrogie działania wobec Rosji w cyberprzestrzeni. Gang jednak szybko musiał zrozumieć, że się trochę przeliczył, bo już dwa dni później anonimowa osoba wypuściła do sieci spektakularną ilość informacji na temat grupy w postaci wielomiesięcznego zapisu z czatu na komunikatorze Jabber na którym rozmawiali członkowie organizacji. Na tej podstawie dało się na przykład potwierdzić, że przywódcy Conti otrzymywali polecenia bezpośrednio od pracowników rosyjskiej służby bezpieczeństwa (FSB). Z innych informacji warto też nadmienić, że odkryto adresy Bitcoin, na które Conto otrzymywało płatności od zaszantażowanych firm, które padły ofiarą ransomaware oraz wiele innych szczegółów dotyczących infrastruktury gangu i jego operacji logistycznych.
Na podstawie tych danych oraz śledztwa TAG z dużą dozą prawdopodobieństwa można stwierdzić, że UAC-0098 to przynajmniej częściowo byli członkowie gangu Conti. Według Google grupa zaangażowana jest w cyberataki na Ukrainie zarówno ze względów politycznych jak i finansowych.
Działania UAC-0098 na Ukrainie
Zgodnie z analizą TAG członkowie tej grupy wykorzystują swoje techniki jako tzw. brokerzy początkowego dostępu, czyli hakerzy przedostający się do wnętrza systemu, do którego później sprzedają dostęp zainteresowanym podmiotom. Jedną z ich metod jest podszywanie się pod ogólnie znane podmioty celem zachęcenia ofiary do kliknięcia w link.
Grupa rozsyłała phishingowe maile do przedstawicieli ukraińskiego przemysłu hotelarskiego podszywając się pod Narodową Cyberpolicję Ukrainy. Maile zawierały link zachęcający do pobrania aktualizacji swojego systemu operacyjnego, a po kliknięciu pobierały i aktywowały bibliotekę dll IcedID (który jest wirusem typu trojan blokującym dostęp do danych na urządzeniu).
UAC-0098 wykonywało też phishing podszywając się pod przedstawicieli Starlinka, obsługiwanego przez SpaceX. Tym razem odsyłacze zawierające złośliwe oprogramowanie zamaskowane były pod płaszczykiem aplikacji pozwalającej łączyć się z internetem za pośrednictwem satelitów Starlink.
Według TAG hakerzy wykorzystywali też tak zwaną Lukę Follina w oprogramowaniu biurowym Microsoft Office. Służy ona do dostarczania złośliwego kodu za pośrednictwem zmodyfikowanych plików Microsoft Word.
Wygląda na to, że cyberprzestępcy dostosowują się coraz lepiej do sytuacji politycznej w naszym regrionie. Przy tym zmotywowani są zarówno przez względy czysto finansowe jak i światopoglądowe. Nadzieję jednak budzi fakt, że tego typu cyfrowi wojownicy walczą po obu stronach i wygląda na to, że ci stojący po jasnej stronie mocy nie ustępują pola tym, którzy opowiadają się po stronie agresora. Jest to też dla nas kolejne przypomnienie o tym by w sieci zachowywać daleko idącą ostrożność.
Źródło: theverge.com, Google
Komentarze
8