Кибершпионаж – постоянна заплаха за Украйна и Полша
Целенасочени кибершпионаж атаки – постоянна заплаха към Украйна и Полша
Поредица от усъвършенствани кампании за кибершпионаж са насочени срещу правителствени структури, военни организации и цивилни потребители в Украйна и Полша. Тези атаки, които се извършват от април 2022 г. насам, използват измамни тактики, като фишинг примамки и документи за развиване на malware софтуер в системите. В тази статия се разглеждат ключовите подробности и последици от тези кампании.
Зловреден софтуер и техники за кибератака и кибершпионаж
Основният зловреден софтуер, използван в тези кампании за кибершпионаж, е PicassoLoader, който служи като програма за изтегляне на Cobalt Strike Beacon и njRAT. Първоначалната фаза включва разпространението на документи, съдържащ malware, от Microsoft Office – предимно файлове Excel и PowerPoint. За да се избегне лесното му откриване, exe loader-а се скрива във файл с изображение, което усложнява идентификацията и анализа на кибер-атаката.
GhostWriter: Извършителят на заплахата
Дейностите се приписват на участник в заплахата, известен като GhostWriter, за когото се твърди, че е свързан с беларуското правителство. Важно е да се отбележи, че някои атаки, документирани от украинския екип за реагиране при компютърни инциденти (CERT-UA) и лабораториите Fortinet FortiGuard Labs, са свързани с GhostWriter, което хвърля светлина върху широкия обхват и постоянните цели на групата.
Верига за разпространение на malware вируса
Веригата на заразяване започва, като жертвите се убеждават да активират макроси в злонамерените документи. Това действие задейства разгръщането на програмата за автоматично изтегляне на DLL PicassoLoader. Впоследствие програмата за автоматично изтегляне извлича крайния продукт от кибер-атаката, който е скрит в привидно легитимен файл с изображение. Чрез използването на такива техники нападателите целят да избегнат откриване и да разширят контрола си върху компрометираните системи.
Участието на руската група APT28 в кибершпионажа
Освен GhostWriter, руската група APT28 също е идентифицирана като участник в заплахи, насочени към Украйна. Техният начин на действие включва изпращане на фишинг имейли с HTML прикачени файлове, с които жертвите се подлъгват да сменят паролите си. Тази тактика дава възможност за кражба на ценни идентификационни данни, предоставяйки неоторизиран достъп до чувствителна информация.
„Playbook на петте фази“ при кибершпионажа
Хакерите, свързани с руското военно разузнаване (ГРУ), са възприели „стандартен петфазен наръчник“ при атаките си срещу Украйна. Този наръчник включва използване на инфраструктурата, разузнаване, странично придвижване, кражба на информация, създаване на постоянен достъп, активиране на malware от тип „Чистачка“ (Wiper malware) и откриване на други хора с хакерски умения и идеология в платформи като Telegram. Тези тактики показват щателното планиране и изпълнение на кибератаките от страна на тези участници в заплахите.
Текущи киберзаплахи и последици
От настоящите кибератаки се вижда ясно колко е сериозна заплахата, пред която са изправени Украйна и Полша. Субектите, към които са насочени, включително правителствени организации и военни институции, трябва да останат нащрек спрямо развиващите се видове техники за кибератаки. Наложително е да се укрепят стабилно методи за защита и киберсигурност, да се увеличат възможностите за бърза реакция при киберинциденти и да се насърчи международното сътрудничество за ефективна борба с тези заплахи.
