Rosyjscy hakerzy wykorzystują fałszywą aktualizację systemu Windows, do atakowania celów rządowych
Wojna pomiędzy Rosją a Ukrainą (niestety) wciąż trwa. Choć nasi sąsiedzi dzielnie walczą o swoją niepodległość i terytorium, to walki nie tylko prowadzone są w świecie rzeczywistym. Rosyjscy hakerzy również nie próżnują i próbują atakować personel rządowy przez sieć.
Niedawno zaobserwowano, że rosyjscy cyberprzestępcy rozpoczęli atak na pracowników ukraińskiego rządu złośliwym oprogramowaniem, wykradającym dane. Hakerzy podszywają się pod personel IT, który rzekomo pracuje w rządowych instytucjach.
Analitycy cyberbezpieczeństwa z Ukraińskiego Zespołu Reagowania na Kryzysy Komputerowe (CERT-UA) wykryli kampanię hakerską, w której sponsorowani przez państwo rosyjscy hakerzy z ugrupowania APT28 (znanego również jako Fancy Bear) wysyłali e-maile do pracowników rządu Ukrainy. Jaką treść zawierały? Te wiadomości rzekomo pochodziły z rządowego departamentu IT i wzywały odbiorców do natychmiastowej aktualizacji urządzeń z systemem Windows (aby zapobiec możliwym cyberatakom).
Badacze zwrócili uwagę, że hakerzy (w celu zwiększenia swojej wiarygodności) utworzyli adresy e-mail w domenie @outlook.com, stosując dane osobowe prawdziwych osób pracujących w organizacjach rządowych. Ponadto specjaliści badający to zdarzenie omówili, jak przebiegał przebieg potencjalnego ataku.
Jeżeli ofiara chwyciła przynętę, napastnicy radzili jej uruchomienie PowerShell i wprowadzenie tam szeregu poleceń, które zamiast zaktualizować urządzenie, pobrałoby oprogramowanie typu spyware/stealware/parasiteware. Ten złośliwy software używa poleceń „tasklist” i „systeminfo” w celu zbierania poufnych danych i wysyłania ich do interfejsu API usługi Mocky za pośrednictwem żądania HTTP.
Aby upewnić się, że żaden z pracowników nie da się nabrać na to oszustwo, CERT-UA zaleca, aby działy IT ograniczyły możliwość uruchamiania poleceń PowerShell na urządzeniach w firmie i rozpoczęły szczegółowe monitorowanie ruchu sieciowego pod kątem podejrzanej aktywności – zwłaszcza jeśli jakieś oprogramowanie łączy się z interfejsem API usługi Mocky.
Materiał naszych kolegów redakcyjnych z tvtech, o największych atakach hakerskich
Choć wojna rosyjsko-ukraińska trwa już ponad rok, to putinowscy hakerzy już wcześniej zaczęli bruździć w sieci. Cały czas próbują infekować instytucje rządowe złośliwym oprogramowaniem, a także próbują wyłączać (z punktu widzenia konfliktu) kluczowe strony w Internecie (nie wspominając już o zjawisku trollingu).
Jeżeli chcecie wesprzeć naszych wschodnich sąsiadów w tym potwornym konflikcie, to zapraszamy na stronę #PomagamUkrainie, gdzie możecie znaleźć informacje o wszystkich dostępnych zbiórkach.
Źródło: techradar.pro; Foreign Affairs
