Ukraina pod falą cyberataków

Ukraina pod falą cyberataków

Magdalena Dziegieć
Specjalista ds. cyberbezpieczeństwa

Pojawiły się doniesienia o wzmożonych cyberatakach, które dotykają wielu organizacji na Ukrainie. Ataki rozpoczęły się jeszcze w styczniu tego roku i mają postać maili phishingowych, które podszywają się pod instytucje państwowe. Załączniki lub linki z wiadomości prowadzą jednak do złośliwego oprogramowania. Jak podaje serwis Cyberdefence24, jeden z przywołanych fałszywych maili miał sugerować, np. „audyt efektywnego wykorzystania środków budżetowych”, inny z kolei informuje o „zawieszeniu aktualizacji bez licencji ze względu na trwające cyberataki”

ZOBACZ TEŻ: Rosja atakuje w sieci. Polska infrastruktura krytyczna na celowniku

Charakterystyka cyberataków wymierzonych w ukraińskie organizacje

Szczegóły incydentów zostały opublikowane na stronie CERT-UA. W oficjalnym komunikacie przekazano, że phishingowe maile nakłaniają do zainstalowania aktualizacji w aplikacjach mobilnych, będących elementem cywilnych i wojskowych systemów. Rzekoma aktualizacja to załącznik (archiwum .rar lub .zip), który po rozpakowaniu ujawnia wykonywalny plik .exe. W innych wariantach, jest to link do strony internetowej, która jest uznawana za bezpieczną, jednak CERT-UA określa ją jako podatną na ataki XSS (Cross-site scripting). Polega on na “wstrzyknięciu” złośliwego kodu, często jest to JavaScript, do zaufanej witryny internetowej). W tym drugim przypadku, wejście na stronę spowoduje wykonanie kodu JavaScript – pobranie pliku na urządzenie. 

Co więcej wiadomo o szczegółach ataków?

W fałszywych mailach zostały zamieszczone instrukcje dotyczące instalacji rzekomych aktualizacji, co w rzeczywistości uruchamiało złośliwe oprogramowanie. W raporcie CERT-UA określono trzy rodzaje narzędzi użytych w atakach. Shadowsniff – stealer wykradający dane z GitHub, Salatstealer, również wykradający dane (należący do rosyjskiego malware-as-a-service), oraz Deaftick, czyli backdoor napisany w języku Go – także nastawiony na wykradanie danych z zaatakowanego systemu. 

Dalsze badania zespołu CERT-UA ujawniły ponadto w jednym z repozytoriów GitHub program o cechach ransomware – Avangard Ultimate v6.0. Biorąc pod uwagę specyfikę tego malware, może powodować ograniczenia w dostępie do zaatakowanego systemu (w wyniku szyfrowania lub innego rodzaju blokady). Prowadzi to do prób wyłudzenia okupu przez atakującego. CERT-UA wspomina też o wykryciu archiwum z exploitem, który wykorzystuje lukę bezpieczeństwa w WinRAR. Takie narzędzie również umożliwia wprowadzenie do urządzenia złośliwego oprogramowania. 

Jaki może być cel ataków?

Jak podaje zespół CERT-UA, analiza okoliczności i technik związanych z opisywanym cyberzagrożeniem pozwoliła na powiązanie ataków z działaniami grupy z kanału na telegramie – “PalachPro”.

Specjaliści nie odnoszą się jednak do możliwych celów czy konkretnych zamierzeń działań przestępczych tej grupy. Jak jednak wiadomo, nie są to pierwsze tego typu doniesienia, związane z cyberatakami wymierzonymi w stronę Ukrainy z Rosji. Nie tak dawno, serwis Cyberdefence24 informował m.in. o atakach na ukraińskie wojsko. Jedno jest pewne – skala działań rosyjskich grup hakerskich jest porażająca zarówno w Europie, jak i poza nią. Cyberataki dotykają bardzo wielu państw, w tym Polski – o czym od dawna regularnie informujemy na naszym blogu. To, co można zakładać na pewno to rozproszone próby sił oraz dezorganizacji infrastruktury na szeroką skalę. 

Aktualności ze świata cyberbezpieczeństwa oraz ostrzeżenia przez najnowszymi zagrożeniami – zaglądaj regularnie na naszego bloga i niczego nie przegap!

Tagi:
Subskrybuj
Powiadom o
guest
0 Komentarze
Najnowsze
Najstarsze Najwięcej głosów
Opinie w linii
Zobacz wszystkie komentarze