Polacy "spalili" zabawki Rosjan. Jeśli chcą dalej szpiegować, muszą się bardziej postarać

Rosyjskie służby specjalne próbowały zainstalować oprogramowanie szpiegowskie na urządzeniach dyplomatów poprzez wysyłanie im sfabrykowanych maili. Teraz hakerzy muszą jednak wymyślić nową metodę, bo ta została doszczętnie spalona przez Polaków.

Służba Kontrwywiadu Wojskowego oraz zespół CERT Polska (CSIRT NASK) ujawniły szeroko zakrojoną kampanię szpiegowską, za którą odpowiadają najpewniej rosyjskie służby specjalne. Hakerzy starają się pozyskiwać informacje z ministerstw spraw zagranicznych oraz placówek dyplomatycznych głównie krajów NATO i UE, ale też w mniejszym stopniu z Afryki. Stosują do tego taktykę zwaną spear phishing. 

Rosyjscy hakerzy atakują dyplomatów

Do pracowników placówek dyplomatycznych rozsyłane są maile, w których hakerzy podszywają się pod ambasady krajów europejskich. Proponują w nich spotkanie lub współpracę nad dokumentami. Razem z mailem przysyłany jest plik PDF, który rzekomo ma kierować do kalendarza ambasadora, szczegółów spotkania lub do pliku do pobrania. Jest to oczywiście sfabrykowany odnośnik, po którego kliknięciu pobierany jest plik z oprogramowaniem szpiegowskim. Zastosowane narzędzia utrudniają jego wykrycie, m.in. dlatego, że nie zostawiają tzw. mark-of-the-web, co oznacza, że użytkownikowi nie zostanie wyświetlone ostrzeżenie, że pliki zostały pobrane. Ponadto ukrywano same pliki instalujące oprogramowanie tak, by wyglądały jak zwykły dokument, np. w nazwie pliku stawiano wiele spacji, aby ukryć rozszerzenie .exe przypisane plikom instalacyjnym. 

Sztuczki rosyjski hakerów na zainstalowanie oprogramowanie szpiegującego fot. CERT Polska

Polacy unieszkodliwili narzędzia hakerów

Rosyjscy hakerzy korzystali z narzędzi SNOWYAMBER, HALFRIF oraz QUARTERIG. Wcześniej te narzędzia w swoich zmodyfikowanych wersjach nie zostały opisane publicznie. Teraz jednak zespół CERT Polska wykonał to zadanie, a tym samym je unieszkodliwił i uniemożliwił kolejne ataki. Jak pisze niebezpiecznik.pl, Polacy w ten sposób "spalili" Rosjanom zabawki. Hakerzy nie będą mogli skorzystać z wymienionych wyżej narzędzi, bo "właśnie zaczęły być wykrywane przez każdego antywirusa, różne rozwiązania typu EDR i inne narzędzia służące do ochrony sieci przed złośliwym oprogramowaniem". SKW oraz CERT Polska mocno rekomendują podjęcie odpowiednich kroków, które opisano pod TYM adresem. Takie działania w szczególności powinny rozważyć: podmioty rządowe; podmioty dyplomatyczne, ministerstwa spraw zagranicznych, ambasady, personel dyplomatyczny i pracujący w podmiotach międzynarodowych; organizacje międzynarodowe i organizacje pozarządowe.