Polska twierdzi, że wspierana przez państwo grupa zagrożeń powiązana z rosyjskim wywiadem wojskowym (GRU) przez cały tydzień atakowała polskie instytucje rządowe.

Według dowodów znalezionych przez CSIRT MON, krajowy Zespół Reagowania na Incydenty Komputerowe (kierowany przez Ministra Obrony Narodowej) i CERT Polska (polski zespół reagowania na incydenty komputerowe), rosyjscy hakerzy państwowi APT28 zaatakowali na dużą skalę wiele instytucji rządowych kampania phishingowa.

E-maile phishingowe próbowały nakłonić odbiorców do kliknięcia osadzonego łącza, które zapewniłoby im dostęp do dodatkowych informacji na temat „tajemniczej Ukrainki” sprzedającej „używaną bieliznę” „władzom wyższego szczebla w Polsce i na Ukrainie”.

Po kliknięciu link przekierowywał ich przez wiele witryn internetowych, zanim trafił na stronę, która pobrała archiwum ZIP. Archiwum zawierało złośliwy plik wykonywalny pod postacią pliku obrazu JPG oraz dwa ukryte pliki: bibliotekę DLL i skrypt .BAT.

Jeśli cel otworzy zakamuflowany plik wykonywalny, ładuje bibliotekę DLL poprzez ładowanie boczne biblioteki DLL, co uruchamia ukryty skrypt. Skrypt wyświetla zdjęcie kobiety w kostiumie kąpielowym w przeglądarce Microsoft Edge dla odwrócenia uwagi, jednocześnie pobierając plik CMD i zmieniając jego rozszerzenie na JPG.

„Skrypt, który ostatecznie otrzymaliśmy, zbiera jedynie informacje o komputerze (adres IP i lista plików w wybranych folderach), na którym zostały uruchomione, a następnie wysyła je na serwer C2. Prawdopodobnie komputery wybranych przez atakujących ofiar otrzymują inny zestawu skryptów dla punktów końcowych” – powiedział CERT Polska.

Taktyka i infrastruktura użyte w tych atakach są identyczne z tymi zastosowanymi w innej wysoce ukierunkowanej kampanii, w której agenci APT28 wykorzystali przynęty wojenne między Izraelem a Hamasem, aby uzyskać dostęp do urządzeń tylnych drzwi urzędników z 13 krajów, w tym członków Rady Praw Człowieka ONZ, ze złośliwym oprogramowaniem Headlace.

Od czasu ujawnienia się w połowie 2000 roku ta wspierana przez państwo rosyjska grupa hakerska koordynowała wiele głośnych cyberataków, a w 2018 roku została powiązana z jednostką wojskową GRU 26165.

Hakerzy APT28 stali za włamaniami na Narodowy Komitet Demokratów (DNC) i Komitet Kampanii Demokratycznego Kongresu (DCCC) przed wyborami prezydenckimi w USA w 2016 r. i naruszeniem bezpieczeństwa niemieckiego parlamentu federalnego (Deutscher Bundestag) w 2015 r.

Stany Zjednoczone oskarżyły wielu członków APT28 o ich udział w atakach DNC i DCCC w lipcu 2018 r., natomiast Rada Unii Europejskiej nałożyła sankcje na APT28 w październiku 2020 r. za włamanie do Bundestagu.

Tydzień temu NATO i Unia Europejska wraz z partnerami międzynarodowymi również formalnie potępiły długoterminową kampanię cyberszpiegowską APT28 skierowaną przeciwko wielu krajom europejskim, w tym Niemcom i Czechom.

Niemcy podały, że rosyjska grupa hakerska włamała się na wiele kont e-mail należących do członków komitetu wykonawczego Partii Socjaldemokratycznej. Czeskie Ministerstwo Spraw Zagranicznych ujawniło również, że w tej samej kampanii Outlook w 2023 r. APT28 obrał za cel niektóre czeskie instytucje.

Napastnicy wykorzystali w ataku lukę CVE-2023-23397 w programie Microsoft Outlook, lukę w zabezpieczeniach wykorzystywaną jako dzień zerowy do atakowania członków NATO w Europie, ukraińskich agencji rządowych i korpusu szybkiego reagowania NATO od kwietnia 2022 r.

„Wzywamy Rosję, aby zaprzestała tej szkodliwej działalności i przestrzegała swoich międzynarodowych zobowiązań i zobowiązań. Wraz z UE i naszymi sojusznikami z NATO będziemy w dalszym ciągu podejmować działania mające na celu zakłócanie rosyjskiej działalności cybernetycznej, ochronę naszych obywateli i partnerów zagranicznych oraz powstrzymywanie szkodliwych podmiotów ponosić odpowiedzialność” – stwierdził w oświadczeniu Departament Stanu USA.