Badacze z Threat Analysis Group (TAG) z Google’a stwierdzili, że w ostatnim czasie doszło do gwałtownego zwiększenia się aktywności grup cyberprzestępców pokroju APT28, Coldriver bądź Turla.
Obydwie grupy są powiązane z Rosją, aczkolwiek APT28 znane tez jako Fancy Bear ma jeszcze otrzymywać wsparcie z Chin, Iranu czy Korei Północnej. W kwietniu Google zaobserwowało działalność APT28 polegającą na infekowaniu pomiotów w Ukrainie za pomocą złośliwego oprogramowania mającym na celu kradzież plików cookie i przechowywanych haseł przez przeglądarki Firefox, Edge i Chrome.
Wektorem ataku są e-maile zawierające zaszyfrowane archiwa zip w formacie “ua_report.zip”. Po zebraniu danych te są wysyłane e-mailem na konto atakującego.
Te mogłyby później posłużyć atakującym do przejęcia kontroli nad systemami różnego typu lub do szantażowania konkretnych osób. Szczególnie na celowniku była i wciąż jest tutaj infrastruktura krytyczna, do której można zaliczyć np. dostawców internetu, media, operatorów sieci energetycznej, operatorów gazociągów, czy wodociągów.
Podobną kampanię zdobywania danych prowadzi grupa znana jako Callisto lub Coldriver poprzez ataki phishingowe na skrzynki e-mail urzędników rządy, ministerstwa obrony, dziennikarzy, organizacji pozarządowych, polityków i think tanków wysyłanych ze skrzynek Gmaila.
Początkowo opierali się na wykorzystywaniu linków kierujących do zainfekowanych stron, ale z czasem zaczęli je umieszczać w dokumentach umieszczanych na Google Drive lub Microsoft One Drive.
Aktywna była także białoruska grupa Ghostwriter przeprowadzająca ataki phishingowe na wysoko postawione cele w Ukrainie z kont Gmaila. Wysyłane wiadomości zawierały linki do zhakowanych stron internetowych wymagających powtórnego zalogowania się. Google informuje, że żadne z kont nie zostało naruszone w wyniku tej kampanii phishingowej.
Warto jednak zaznaczyć wzmocniona ochotnikami z Zachodu i wspierana przez kolektyw Anonymous, “cyberarmia” Ukrainy jest bardzo skuteczna w odpieraniu ataków Rosjan na ukraińską infrastrukturę.
Rosyjskie cyberataki to nie tylko Ukraina
Odnotowano też znacznie zwiększenie działalności na terenie państw bałtyckich grupy Turla, która jest wspierana lub składa się z funkcjonariuszy rosyjskiej Federalnej Służby Bezpieczeństwa (FSB). Grupa tak samo tak samo jak Coldriver prowadziła kampanie phishingowe nakierowane na podmioty rządowe, organizacje obronne czy zajmujące się cyberbezpieczeństwem.
Wektorem także były wiadomości e-mail zawierające linki prowadzące do plików DOCX hostowanych na infrastrukturze kontrolowanej przez atakującego umożliwiającej przesłanie złośliwego oprogramowania. Dotychczas zidentyfikowano dwie domeny atakujących: ,,wkoinfo.webredirect.org” i ,,jadlactnato.webredirect.org”.
