Wyspecjalizowane grupy rosyjskich hakerów działające na bezpośrednie zlecenie Kremla od lat próbują zinfiltrować europejskie sieci internetowe. Wybuch wojny w Ukrainie sprawił jednak, że tego rodzaju ataki jeszcze bardziej się zintensyfikowały.
O najnowszej kampanii przeprowadzonej przez cyberżołnierzy Putina poinformowała stacja CNN. Z jej ustaleń wynika, że pomiędzy kwietniem i grudniem 2022 roku hakerzy z organizacji APT28 mieli uzyskać dostęp do sieci używanych przez "mniej niż 15" organizacji rządowych, wojskowych, transportowych i energetycznych.
Grupa APT28 (jej inne nazwy to STRONTIUM, Sofacy oraz Fancy Bear) uważana jest za największego sprzymierzeńca Kremla w cyberwojnie. Eksperci ds. cyberbezpieczeństwa z takich firm jak Microsoft czy Kaspersky sugerują, że APT28 jest nie tylko powiązana z wywiadem Federacji Rosyjskiej (GRU), ale jest wręcz jego integralną częścią.
APT28 oskarża się m.in. o ataki hakerskie na niemiecki parlament, francuską telewizję TV5 Monde oraz o kradzież danych z serwerów Światowej Agencji Antydopingowej. Grupa ta miała też utrudniać śledztwo w sprawie katastrofy MH-17, a także włamać się na serwery polskiego Ministerstwa Spraw Zagranicznych w grudniu 2016 roku.
Rosyjscy hakerzy zaatakowali w Europie. Wszystko przez lukę w popularnej aplikacji
Jak wynika z ustaleń CNN, rosyjscy hakerzy do ataków na europejskie sieci internetowe wykorzystali podatność w popularnej aplikacji e-mailowej Microsoft Outlook. Lukę jako pierwszy miał wykryć ukraiński zespół CERT.
Sam Microsoft poinformował klientów o tej podatności, udostępnił również aktualizację, która ją naprawia. Firma z Redmond nie potwierdziła jednak oficjalnie, że wykryta luka została wykorzystana przez rosyjskich hakerów do skutecznych ataków na europejską infrastrukturę krytyczną.
Jak twierdzi CNN, nieoficjalnie amerykański koncern miał jednak przyznać, że "mniej niż 15" organizacji było celem ataków lub padło ofiarą hakerów z grupy APT28.
Takie potwierdzenie możemy również znaleźć w komunikacie opublikowanym przez pełnomocnika polskiego rządu ds. cyberbezpieczeństwa:
Podatności, czyli błędy i luki bezpieczeństwa zdarzają się także w powszechnie używanych produktach dużych dostawców. Microsoft opublikował informację o krytycznej (czyli łatwej do wykorzystania i o szerokich skutkach) podatności w aplikacji Outlook na systemie Windows. Może ona prowadzić do zdalnego przejęcia konta, bez udziału użytkownika. Podatność była aktywnie używana w atakach przeprowadzanych przez jedną z grup powiązanych z rosyjskim rządem od kwietnia 2022 roku, w tym także w Polsce.
Zalecamy podjęcie natychmiastowych działań przez administratorów wszystkich organizacji, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook.
- czytamy dalej.
Jak działa luka wykorzystana przez rosyjskich hakerów?
Podatność wykryta w aplikacji Microsoft Outlook pozwala na przejęcie kontroli nad kontem użytkownika na dwa różne sposoby. Jedna z nich umożliwia zdobycie hasła poprzez tzw. atak słownikowy, czyli taki, który wykorzystuje metodę prób i błędów w celu odkrycia danych logowania. Druga metoda pozwala na bezpośrednie użycie sesji użytkownika do zalogowania w innych usługach organizacji.
Do przeprowadzenia ataku wystarczy, aby ofiara otrzymała odpowiednią wiadomości e-mail. Żadne działanie użytkownika nie jest wymagane. Atak może zostać przeprowadzony zdalnie. Pozyskane hasło domenowe może być użyte do logowania do innych dostępnych publicznie usług firmowych. Jeśli nie jest wykorzystywane uwierzytelnianie dwuskładnikowe, może to doprowadzić do uzyskania przez atakującego dostępu do sieci firmowej.
- głosi rządowy komunikat.
Jak czytamy, na ataki z wykorzystaniem wykrytej luki "podatne są wszystkie wersje Microsoft Outlook na platformę Windows". "Nie są podatne wersje na platformy Android, iOS czy macOS" oraz "usługi chmurowe, takie jak Microsoft 365".
Polski rząd zalecił administratorom sieci należących do polskich firm oraz organizacji jak najszybszą aktualizację aplikacji zgodnie z wytycznymi opublikowanymi na poniższej stronie: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
Warto też przypomnieć, że stosowanie silnych haseł znacząco utrudni wykorzystanie podatności przez cyberprzestępców. O tym, jak tworzyć takie hasła przeczytać można tutaj: Hasła | CERT Polska. Istotnym zaleceniem jest także stosowanie uwierzytelniania dwuskładnikowego, w szczególności do usług wystawionych do internetu.
- czytamy.
Jak organizacje mogą sprawdzić swoje bezpieczeństwo?
Microsoft udostępnił również specjalne narzędzie, dzięki któremu organizację mogą sprawdzić, czy ich użytkownicy otrzymali wiadomości umożliwiające wykorzystanie luki w aplikacji Outlook. Jest ono dostępne dla administratorów pod tym linkiem.
Tajna armia Kremla
W ciągu ostatnich dekad Rosja wyrobiła sobie opinię państwa, które bardzo chętnie korzysta z usług grup hakerskich, a rosyjscy cyberżołnierze są oskarżeni o niemal każdy większy incydent związany z cyberbezpieczeństwem.
Lista ataków, które przypisuje się Kremlowi, jest imponująca i ciągle rośnie. W 2007 roku hakerzy mieli przypuścić cyberatak na Estonię. Wówczas sparaliżowane zostały systemy informatyczne estońskiego parlamentu, rządu oraz banków. Rosja miała również korzystać z usług swoich hakerów podczas konfliktu z Gruzją.
Pod koniec 2015 r. cyberżołnierze Kremla mieli z kolei zaatakować elektrownię jądrową w ukraińskim Zaporożu. Wówczas - na oczach operatora pełniącego wtedy zmianę - w zdalny sposób wyłączyli wszystkie generatory, pozbawiając energii elektrycznej niemal 700 tys. domostw.
Największą sławę rosyjskim hakerom miała przynieść ingerencja w przebieg wyborów prezydenckich w USA. 14 lipca 2016 r. amerykański dziennik "Washington Post" poinformował, że działający na zlecenie Kremla hakerzy wykradli z serwerów Partii Demokratycznej znajdujące się tam e-maile, które następnie zostały opublikowane przez portal Wikileaks.
