„Ruscy” cyberszpiedzy nie zwalniają – oto kulisy ataków na Polskę

W ostatnim okresie analitycy ESET odnotowali nasilające się działania cyberszpiegów z rosyjskich grup APT. Najczęściej atakowane były instytucje rządowe i obronne, a także firmy z sektora technologicznego i transport. Analitycy zdradzili kulisy ataków, prezentując przykłady i schematy działań konkretnych ataków.

Redakcja

Cyfrowe oblicze wojny

Analitycy ESET podsumowali działania grup APT. W odniesieniu do poprzedniej edycji raportu wciąż najbardziej aktywne pozostają grupy powiązane z Chinami (odpowiadają za 40,1% działań) oraz Rosją (25,7%). Zauważalna jest również aktywność grup powiązanych z Koreą Północną (14,4%) oraz Iranem (9,1%).

Grupy APT to zazwyczaj cyberprzestępcy z organizacji państwowych lub organizacji, które działają w imieniu państw. Koncentrują się na ukierunkowanych i wyrafinowanych operacjach cybernetycznych, aby przeniknąć do systemów celów wysokiego szczebla (organizacji rządowych, korporacji) i pozostać w nich niewykrytymi przez dłuższy czas.

Robią to głównie w celu długoterminowego cyberszpiegostwa i kradzieży poufnych danych. Ugrupowania APT dysponują dużą wiedzą, zaawansowanymi narzędziami i technikami oraz ogromnymi budżetami.

Jedną z najbardziej aktywnych grup powiązanych z Chinami, która nadal intensywnie atakuje europejskie organizacje jest Mustang Panda. Grupa wciąż koncentruje się na sektorze transportu morskiego i organizacjach rządowych, a jej celami były m.in. Polska, Wielka Brytania i Norwegia.

Kamil Sadkowski, analityk laboratorium antywirusowego ESET:

Nasz raport pokazuje, że w całej Europie to podmioty rządowe pozostawały głównym celem działań szpiegowskich prowadzonych przez grupy APT, podczas gdy na pozostałych kontynentach kluczowym celem ataków jest sektor technologiczny.

Ponadto sektor obronny znalazł się na 4. miejscu celów grup APT w Europie, a w przypadku pozostałych kontynentów w żadnym z nich nie znalazł się w TOP 5. Największą intensywność cyberataków odnotowano w Ukrainie – głównie w wyniku uporczywych kampanii grup powiązanych z Rosją, wymierzonych w krytyczną infrastrukturę i instytucje rządowe tego kraju.

Z długofalową kampanią

Jedną z najbardziej znaczących w ubiegłym roku była operacja RoundPress. Przeprowadzona prawdopodobnie przez rosyjską grupę cyberszpiegowską Sednit kampania rozpoczęła się jeszcze w 2023 roku i była kontynuowana w 2024 roku, obejmując swoim zasięgiem instytucje rządowe i zbrojeniowe głównie w Europie Środkowo-Wschodniej.

Szczególnie niepokojące jest ukierunkowanie ataków na podmioty zaangażowane w produkcję i dostawy uzbrojenia dla Ukrainy, co wskazuje na strategiczne cele działań hakerskich. Analitycy ESET wskazują na powiązania operacji RoundPress z rosyjskim wywiadem wojskowym GRU.

Grupa Sednit, prawdopodobnie powiązana z wywiadem wojskowym GRU, działa co najmniej od 2004 roku. Jest to jedna z grup odpowiedzialnych za włamanie do systemów Partii Demokratycznej tuż przed wyborami prezydenckimi w USA w 2016 roku. Grupa ta jest również uznawana za sprawcę ataku na telewizję TV5Monde oraz wycieku e-maili Światowej Agencji Antydopingowej (WADA). Stopień zaawansowania działań grupy świadczy o wysokim poziomie organizacji i wsparcia państwowego. Wśród celów operacji RoundPress zidentyfikowano urzędy państwowe i firmy zbrojeniowe różnych krajów, co wskazuje na próby pozyskiwania informacji dotyczących pomocy militarnej dla Ukrainy oraz działań dyplomatycznych innych państw – dodaje Sadkowski.

A zaczyna się od phishingu

Wiadomość e-mail na ogół wygląda na nieszkodliwą i zawiera tekst dotyczący bieżących wydarzeń. Przykładowo, we wrześniu 2024 roku grupa Sednit rozesłała wiadomość phishingową z adresu kyivinfo24@ukr[.]net, której temat brzmiał: „SBU zatrzymała bankiera, który pracował dla wrogiego wywiadu wojskowego w Charkowie”.

Treść phishingowej wiadomości w formie newslettera zawiera fragmenty (w języku ukraińskim) oraz odnośniki do artykułów z „Kyiv Post”, znanego ukraińskiego dziennika. Złośliwy kod JavaScript, znajdujący się wewnątrz kodu HTML treści wiadomości jest niewidoczny dla użytkownika. Jego wykonanie po otwarciu wiadomości pozwala uzyskać dostęp np. do maili ofiary.

Inne, podobne działanie było wymierzone przeciw bułgarskim użytkownikom sieci.

Gamaredon – grupa nadal jest aktywna

Swoje działania wciąż kontynuuje Gamaredon, jedna z najbardziej aktywnych rosyjskich grup APT. Ich działania stały się bardziej zaawansowane i wykorzystują nowe techniki zaciemniania kodu, np. dodawanie w kodzie adresów fałszywych serwerów zdalnej kontroli, aby utrudnić analizę. W październiku 2024 roku zanotowano rekordową liczbę unikalnych próbek złośliwego oprogramowania tej grupy.

Niedawno pojawiło się nowe narzędzie stworzone przez cyberszpiegów – PteroBox. To złośliwe oprogramowanie, które kradnie pliki (dokumenty Office, PDF-y, obrazy, bazy danych) i wysyła je na Dropboxa. Gamaredon nie tylko działa agresywnie, ale też stale udoskonala swoje metody – podsumowuje Sadkowski.

Dodajmy, że także Mustang Panda nadal intensywnie atakuje europejskie organizacje i jest najbardziej aktywną grupą powiązaną z Chinami, jaką widzieliśmy działającą w Europie. Grupa wciąż koncentruje się na sektorze transportu morskiego i organizacjach rządowych, a jej celami były m.in. Polska, Wielka Brytania i Norwegia.

***

economista.pl to serwis ekonomiczny prezentujący rzetelne analizy, dane i informacje finansowe dotyczące gospodarki, finansów, technologii czy rynku nieruchomości. Od blisko 4 lat prowadzony przez doświadczonych dziennikarzy ekonomicznych. Osoby i firmy zainteresowane współpracą zapraszamy do kontaktu na adres:

redakcja@economista.pl lub marketing@economista.pl

Wybrane dla Ciebie
Rower to więcej niż rekreacja. Polska na jednośladowym rynku Europy
Rower to więcej niż rekreacja. Polska na jednośladowym rynku Europy
EFNI: Polska moich marzeń, czyli pokolenie Z o swojej przyszłości
EFNI: Polska moich marzeń, czyli pokolenie Z o swojej przyszłości
Tanie mieszkania. Gdzie są najtańsze dzielnice w najdroższych miastach?
Tanie mieszkania. Gdzie są najtańsze dzielnice w najdroższych miastach?
Demografia nie pozostawia złudzeń. „X-ksy” potrzebne jak nigdy
Demografia nie pozostawia złudzeń. „X-ksy” potrzebne jak nigdy
Rosną zaległości branży TSL. Drożejące paliwa biją w polskie firmy
Rosną zaległości branży TSL. Drożejące paliwa biją w polskie firmy
Finansowe zakręty, czyli skrajne podejście Polaka do pieniędzy
Finansowe zakręty, czyli skrajne podejście Polaka do pieniędzy
Ceny mieszkań. Sopot jest już pięć razy droższy od Bytomia
Ceny mieszkań. Sopot jest już pięć razy droższy od Bytomia
Polak w podróży. Dokąd najchętniej wyjeżdżamy za granicę?
Polak w podróży. Dokąd najchętniej wyjeżdżamy za granicę?
Reemigracja jako rosnący trend. Nowa szansa dla rynku pracy?
Reemigracja jako rosnący trend. Nowa szansa dla rynku pracy?
Cyfrowy strach Polaka. Fałszywy kod QR to jak „pocałunek kobry”
Cyfrowy strach Polaka. Fałszywy kod QR to jak „pocałunek kobry”
Zielona rewolucja miast. Gdzie lasy zajmują największy obszar?
Zielona rewolucja miast. Gdzie lasy zajmują największy obszar?
Co czwarte auto jest kolorowe. Które sprzedają się najszybciej?
Co czwarte auto jest kolorowe. Które sprzedają się najszybciej?