W analizie rosyjskich ataków hakerskich na Ukrainę i Polskę wykryto nowe szkodliwe oprogramowanie

Badacze odkryli nową operację cybernetyczną wymierzoną w organizacje ukraińskie i polskie i przypisali ją kontrolowanej przez państwo rosyjskiej grupie hakerskiej Fancy Bear.

Podczas grudniowych ataków rosyjscy hakerzy wysyłali do swoich ofiar e-maile phishingowe zawierające złośliwe załączniki. Po otwarciu załączniki te infekowały urządzenia nowatorskim złośliwym oprogramowaniem Masepie raport z Zespołu Reagowania na Kryzysy Komputerowe Ukrainy (CERT-UA).

Naukowcy twierdzą, że szkodliwe oprogramowanie napisane w języku programowania Python może przesyłać pliki i wykonywać polecenia. W najnowszej kampanii hakerzy wykorzystali go do przesłania kradnącego dane szkodliwego oprogramowania o nazwie Steelhook, którego celem są przeglądarki internetowe, a także backdoora o nazwie Oceanmap, który wykorzystuje oprogramowanie pocztowe.

Po wstępnym kompromisie hakerzy integrują z systemem również narzędzia open source, takie jak Impacket i Smbexec, w celu przeprowadzenia rekonesansu. Narzędzia te są często wykorzystywane w testach penetracyjnych i hakowaniu etycznym w celu zrozumienia i wykorzystania luk w zabezpieczeniach sieci. Mogą jednak zostać również wykorzystane przez hakerów do złośliwych celów.

Badacze stwierdzili, że celem hakerów w tej kampanii nie było zainfekowanie tylko jednego komputera, ale rozszerzenie ataku na całą sieć organizacji.

Na Ukrainie wśród ofiar grupy znalazły się anonimowe agencje rządowe. Polska agencja cybernetyczna nie odpowiedziała na prośbę o komentarz.

Tylko w 2023 r. Fancy Bear, znany również jako APT28, obrał za cel ukraińskie zakłady energetyczne, agencje rządowe i wojsko. Francja oskarżyła także hakerów o szpiegowanie francuskich uniwersytetów, firm i ośrodków doradczo-doradczych.

Grupa jest powiązana z rosyjskim wywiadem wojskowym (GRU) i atakuje przede wszystkim organizacje rządowe, energetyczne, transportowe i pozarządowe w Stanach Zjednoczonych, Europie i na Bliskim Wschodzie.

Hakerzy często wykorzystują publicznie dostępne luki, takie jak luki w programie Microsoft Outlook czy popularne narzędzie do archiwizacji plików dla systemu Windows o nazwie WinRAR.

Na początku grudnia polska agencja ds. cyberbezpieczeństwa poinformowała, że ​​Fancy Bear wykorzystał lukę w programie Microsoft Outlook w celu uzyskania dostępu do skrzynek pocztowych zawierających „informacje o dużej wartości”.