Polski ośrodek cyberbezpieczeństwa CERT ujawnił, że hakerzy rosyjscy próbowali wydobyć informacje z krajów Unii Europejskiej i NATO podszywając się pod dyplomatów zachodnich w mailach. Ta kampania trwa i wykorzystuje nowe, nieznane dotąd narzędzia.
Polacy ustalili, że Rosjanie używali fałszywych maili ambasad Unii Europejskiej do phishingu, czyli wyłudzania danych pod przykrywką. – Służba Kontrwywiadu Wojskowego oraz zespół CERT Polska (CSIRT NASK), zaobserwowały szeroko zakrojoną kampanię szpiegowską wiązaną z rosyjskimi służbami specjalnymi, ukierunkowaną na pozyskiwanie informacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych. Większość zidentyfikowanych celi kampanii znajduje się w państwach należących do NATO, Unii Europejskiej oraz w mniejszym stopniu, w Afryce – czytamy w komunikacie Kancelarii Prezesa Rady Ministrów.
– Wiele elementów zaobserwowanej kampanii – infrastruktura, wykorzystane techniki oraz narzędzia, częściowo lub całkowicie, pokrywa się z opisywanymi w przeszłości zbiorami aktywności określanymi przez Microsoft jako „NOBELIUM” oraz przez Mandiant jako „APT29”. Stojący za nimi aktor wiązany jest m.in. z kampanią zwaną „SOLARWINDS” oraz narzędziami „SUNBURST”, „ENVYSCOUT”. oraz „BOOMBOX”4, a także licznymi innymi kampaniami o charakterze wywiadowczym – czytamy dalej. –
Opisywane działania wyróżniają się na tle poprzednich wykorzystaniem unikalnego dla tej kampanii, nieopisanego wcześniej publicznie oprogramowania. Nowe narzędzia były używane równolegle i niezależnie od siebie lub zastępując te, których skuteczność spadła pozwalając aktorowi na utrzymanie ciągłości działań – informuje KPRM.
– W momencie publikacji raportu kampania wciąż trwa i ma charakter rozwojowy. SKW oraz CERT.PL rekomendują wszystkim podmiotom mogącym znajdować się w obszarze zainteresowania aktora wdrożenie mechanizmów mających na celu podniesienie bezpieczeństwa wykorzystywanych systemów informatycznych i zwiększenie wykrywalności ataków. Przykładowe zmiany konfiguracyjne oraz mechanizmy detekcji zostały zaproponowane w rekomendacjach – tłumaczy KPRM. – Celem publikacji raportu jest zakłócenie trwającej kampanii szpiegowskiej oraz umożliwienie wykrycia, analizy oraz śledzenia opisywanych działań poszkodowanym podmiotom i szerszej branży cyberbezpieczeństwa.
Więcej informacji oraz rekomendacje CERT można znaleźć pod poniższym linkiem.
Kancelaria Premiera/Wojciech Jakóbik
