Bezpieczeństwo

Rosyjscy hakerzy wykorzystują fałszywą aktualizację systemu Windows, do atakowania celów rządowych

przeczytasz w 2 min.

Wojna pomiędzy Rosją a Ukrainą (niestety) wciąż trwa. Choć nasi sąsiedzi dzielnie walczą o swoją niepodległość i terytorium, to walki nie tylko prowadzone są w świecie rzeczywistym. Rosyjscy hakerzy również nie próżnują i próbują atakować personel rządowy przez sieć.

Niedawno zaobserwowano, że rosyjscy cyberprzestępcy rozpoczęli atak na pracowników ukraińskiego rządu złośliwym oprogramowaniem, wykradającym dane. Hakerzy podszywają się pod personel IT, który rzekomo pracuje w rządowych instytucjach.

Analitycy cyberbezpieczeństwa z Ukraińskiego Zespołu Reagowania na Kryzysy Komputerowe (CERT-UA) wykryli kampanię hakerską, w której sponsorowani przez państwo rosyjscy hakerzy z ugrupowania APT28 (znanego również jako Fancy Bear) wysyłali e-maile do pracowników rządu Ukrainy. Jaką treść zawierały? Te wiadomości rzekomo pochodziły z rządowego departamentu IT i wzywały odbiorców do natychmiastowej aktualizacji urządzeń z systemem Windows (aby zapobiec możliwym cyberatakom).

Rosyjskie ataki

Badacze zwrócili uwagę, że hakerzy (w celu zwiększenia swojej wiarygodności) utworzyli adresy e-mail w domenie @outlook.com, stosując dane osobowe prawdziwych osób pracujących w organizacjach rządowych. Ponadto specjaliści badający to zdarzenie omówili, jak przebiegał przebieg potencjalnego ataku.

Jeżeli ofiara chwyciła przynętę, napastnicy radzili jej uruchomienie PowerShell i wprowadzenie tam szeregu poleceń, które zamiast zaktualizować urządzenie, pobrałoby oprogramowanie typu spyware/stealware/parasiteware. Ten złośliwy software używa poleceń „tasklist”„systeminfo” w celu zbierania poufnych danych i wysyłania ich do interfejsu API usługi Mocky za pośrednictwem żądania HTTP.

Aby upewnić się, że żaden z pracowników nie da się nabrać na to oszustwo, CERT-UA zaleca, aby działy IT ograniczyły możliwość uruchamiania poleceń PowerShell na urządzeniach w firmie i rozpoczęły szczegółowe monitorowanie ruchu sieciowego pod kątem podejrzanej aktywności – zwłaszcza jeśli jakieś oprogramowanie łączy się z interfejsem API usługi Mocky.

Materiał naszych kolegów redakcyjnych z tvtech, o największych atakach hakerskich

Choć wojna rosyjsko-ukraińska trwa już ponad rok, to putinowscy hakerzy już wcześniej zaczęli bruździć w sieci. Cały czas próbują infekować instytucje rządowe złośliwym oprogramowaniem, a także próbują wyłączać (z punktu widzenia konfliktu) kluczowe strony w Internecie (nie wspominając już o zjawisku trollingu).

Jeżeli chcecie wesprzeć naszych wschodnich sąsiadów w tym potwornym konflikcie, to zapraszamy na stronę #PomagamUkrainie, gdzie możecie znaleźć informacje o wszystkich dostępnych zbiórkach.

Źródło: techradar.pro; Foreign Affairs

Komentarze

6
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Norghul
    3
    Jak bardzo głupim trzeba być by dać się zrobić na taki "atak". Niektórzy ludzie zasługują na taki los i nawet mi ich nie jest żal. Jeżeli "pracownik IT" każe nam wykonać szereg poleceń w konsoli i jeszcze dostarcza nam jakieś instrukcje mailem to w myk powinna się zapalić czerwona lampka. Telefon do IT z pytaniem o co chodzi też nie boli.
    • avatar
      Chiny_X
      3
      Ja tam nie wiem, ale każda firma, w której pracowałem robiła konta użytkowników tylko z podstawowymi uprawnieniami. Trochę zalatuje fakiem.
      • avatar
        pawluto
        2
        Kogo oni tam zatrudniają w rządowych posadkach ??? Pana Miecia hydraulika ???
        • avatar
          Nibynóżka
          -15
          Мене нудить від новин про війну між бандерівцями та росіянами.
          • avatar
            Nibynóżka
            0
            Мені набридла ця війна в Україні. Раніше це був IT-портал. До речі, я пишу це українською, тупий хуй.

            Witaj!

            Niedługo wyłaczymy stare logowanie.
            Logowanie będzie możliwe tylko przez 1Login.

            Połącz konto już teraz.

            Zaloguj przez 1Login