Rosyjscy cyberprzestępcy wciąż atakują Ukrainę złośliwym oprogramowaniem - raport ESET

Powiązane z Rosją grupy cyberprzestępców w czwartym kwartale 2022 roku wciąż silnie działały przeciw Ukrainie. Wykorzystywały głównie szkodliwe oprogramowanie, m.in. kasujące dane. Na celowniku cyberprzestępców znalazła się także Polska. Na dużą skalę na świecie działały również grupy powiązane z Chinami oraz Iranem – wynika z opublikowanego przez ESET Research raportu, podsumowującego koniec 2022 roku pod względem aktywności grup APT, odpowiedzialnych za zaawansowane ataki (ang. Advanced Persistent Threats). Eksperci informują także o kolejnych atakach typu APT wymierzonych w Ukrainę już w 2023 roku.

Ciesząca się złą sławą grupa Sandworm wykorzystywała w Ukrainie w 2022 roku nieznane wcześniej oprogramowanie typu wiper – ustalili eksperci ESET. Wiper to typ złośliwego oprogramowania do usuwania danych (wiper od ang. wipe – wycierać/zamazywać), którego działanie uniemożliwia normalne funkcjonowanie sprzętów komputerowych i tym samym paraliżuje firmy i instytucje. Nowe oprogramowanie typu Wiper, któremu eksperci nadali nazwę NikoWiper, zostało użyte do ataku na ukraińską firmę z sektora energetycznego. Działanie NikoWiper oparto na narzędziu firmy Microsoft, które służyło pierwotnie do bezpiecznego usuwania plików.

Opisany atak wydarzył się w październiku 2022, w tym samym czasie, kiedy rosyjskie siły zbrojne rozpoczęły ataki rakietowe na ukraińską infrastrukturę energetyczną. Grupy APT działają zwykle w porozumieniu z organami państwowymi lub powiązanymi z rządem. Chociaż ESET nie jest w stanie wykazać, że wydarzenia te były skoordynowane, sugeruje, że Sandworm i rosyjskie wojsko mają podobne cele. Z kolei już w styczniu 2023 analitycy z ESET poinformowali o kolejnej aktywności grupy Sandworm wymierzonej w Ukrainę, jakim jest następny wiper o nazwie SwiftSlicer.

Specjaliści ds. cyberbezpieczeństwa ESET wykryli także, że grupa Sandworm, poza atakami wykorzystującymi  złośliwe oprogramowanie wymazujące dane, przeprowadzała w ostatnim kwartale 2022 roku też akcje przy użyciu złośliwego oprogramowania ransomware. Celem tych ataków także było zniszczenie danych. W przeciwieństwie do typowych ataków ransomware, grupa Sandworm nie zamierzała udostępniać klucza deszyfrującego. Mechanizm tradycyjnego ataku ransomware zakłada bowiem udostępnienie klucza, gdy zaatakowana osoba lub podmiot spełni postulaty cyberprzestepców – zwykle szantaż ma wtedy charakter finansowy.

W październiku 2022 r. ESET wykrył także, że oprogramowanie ransomware Prestige wykorzystywane jest przeciwko firmom logistycznym w Ukrainie i w Polsce. Z kolei w listopadzie 2022 r. zidentyfikowano w Ukrainie nowe oprogramowanie ransomware, stworzone w technologii .NET, które nazwano RansomBoggs. ESET Research opublikował wówczas na Twitterze szczegóły wykrytej kampanii. Grupa Sandworm oraz inne rosyjskie grupy APT, takie jak Callisto i Gamaredon, kontynuowały kampanie spearphishingowe przeciwko Ukrainie w celu kradzieży danych uwierzytelniających i instalowania szkodliwych programów. Spearphishing to wyrafinowana i ukierunkowana forma phishingu, w ramach której cyberprzestępcy najpierw wykonują zaawansowaną pracę wywiadowczą, aby potem zręcznie manipulować wybranymi użytkownikami.

Badacze ESET wykryli również kampanię spearphishingową MirrorFace, wymierzoną w podmioty polityczne w Japonii i zauważyli stopniową zmianę w działaniach niektórych grup powiązanych z Chinami – grupa Goblin Panda zaczęła dublować zainteresowanie grupy Mustanga Panda krajami europejskimi. W listopadzie ubiegłego roku ESET wykrył nowy backdoor (złośliwy program dający dostęp do zaatakowanego systemu) opracowany przez Goblin Panda, który nazwano TurboSlate, w organizacji rządowej w Unii Europejskiej. Mustang Panda nadal atakuje organizacje europejskie. We wrześniu ubiegłego roku wykryto m.in. oprogramowanie Korplug używane przez grupę Mustang Panda, w akcji przeciw szwajcarskiemu przedsiębiorstwu z sektora energetycznego i inżynieryjnego.

Również grupy APT powiązane z Iranem kontynuowały ataki w czwartym kwartale 2022 roku. Grupa POLONIUM, prowadząca do tej pory ataki na firmy izraelskie, rozpoczęła także działania wymierzone w ich zagraniczne spółki zależne, a MuddyWater prawdopodobnie naraził na szwank dostawcę usług zarządzania bezpieczeństwem.

Z kolei grupy powiązane z Koreą Północną wykorzystywały stare exploity (programy wykorzystujące luki w aplikacji) do ataku na firmy kryptowalutowe i giełdy w różnych częściach świata. Co ciekawe, złośliwe oprogramowanie Konni, atakujące dotychczas w Rosji i Korei Południowej, rozszerzyło repertuar używanych języków o angielski. Oznacza to, że może teraz przeprowadzać działania wymierzone także w inne cele.

Wśród krajów atakowanych w ostatnim kwartale 2022 roku przez grupy APT, eksperci ESET obok Ukrainy, Polski, Japonii, Iraku i Korei Południowej wymieniają także m.in. Stany Zjednoczone, Łotwę, Serbię, czy Egipt. Prócz sektora energetycznego, finansowego, logistycznego i rządowego, grupy APT działały w tym czasie także m.in. na szkodę firm z sektora obronnego, przemysłowego i zajmujących się łącznością satelitarną.

Zobacz pełny raport „ESET APT Activity Report”

Zachęcamy także do śledzenia konta ESET Research na Twitterze.

#BREAKING On January 25th #ESETResearch discovered a new cyberattack in 🇺🇦 Ukraine. Attackers deployed a new wiper we named #SwiftSlicer using Active Directory Group Policy. The #SwiftSlicer wiper is written in Go programing language. We attribute this attack to #Sandworm. 1/3 pic.twitter.com/pMij9lpU5J

— ESET Research (@ESETresearch) January 27, 2023