Полша съобщава, че подкрепяна от държавата група за заплахи, свързана с руското военно разузнаване (ГРУ), е атакувала полски държавни институции през цялата седмица.

Според доказателствата, открити от CSIRT MON, националния екип за реагиране при инциденти с компютърната сигурност (ръководен от полския министър на националната отбрана) и CERT Polska (полския екип за реагиране при компютърни инциденти), руските държавни хакери от APT28 са атакували множество държавни институции в рамките на мащабна фишинг кампания.

Фишинг имейлите се опитваха да подмамят получателите да кликнат върху вградена връзка, която щеше да им осигури достъп до повече информация относно „мистериозна украинка“, продаваща „употребявано бельо“ на „висши органи в Полша и Украйна“.

След като кликнат върху връзката, те се пренасочват през множество уебсайтове, преди да попаднат на страница, от която се изтегля архив ZIP. Архивът съдържаше злонамерен изпълним файл, маскиран като файл с изображение JPG, и два скрити файла: DLL и .BAT скрипт.

Ако мишената отвори замаскирания изпълним файл, тя зарежда DLL чрез DLL side loading, който стартира скрития скрипт. Скриптът показва снимка на жена в бански костюм в браузъра Microsoft Edge като отвличащ вниманието елемент, като едновременно с това изтегля CMD файл и променя разширението му на JPG.

„Скриптът, който накрая получихме, събира само информация за компютъра (IP адрес и списък на файловете в избрани папки), на който са били стартирани, и след това ги изпраща на сървъра C2. Вероятно компютрите на жертвите, избрани от нападателите, получават различен набор от скриптове за крайни точки“, казват от CERT Polska.

Тактиката и инфраструктурата, използвани в тези атаки, са идентични с тези, използвани в друга високоцеленасочена кампания, в която оперативните работници на APT28 използваха военни примамки на Израел и Хамас, за да поставят задната врата на устройствата на служители от 13 държави, включително членове на Съвета по правата на човека на ООН, със зловреден софтуер Headlace.

Откакто се появи в средата на 2000-те години, подкрепяната от руската държава хакерска група е координирала много кибератаки на високо ниво, а през 2018 г. беше свързана с военното подразделение 26165 на ГРУ.

Хакерите от APT28 стоят зад хакерските атаки срещу Националния комитет на Демократическата партия (DNC) и Комитета за кампанията на Конгреса на Демократическата партия (DCCC) преди президентските избори в САЩ през 2016 г., както и зад пробива във Федералния парламент на Германия (Deutscher Bundestag) през 2015 г.

През юли 2018 г. Съединените щати повдигнаха обвинения на множество членове на APT28 за участието им в атаките срещу DNC и DCCC, а през октомври 2020 г. Съветът на Европейския съюз наложи санкции на APT28 за хакването на Бундестага.

Преди една седмица НАТО и Европейският съюз, заедно с международни партньори, също официално осъдиха дългосрочната кампания за кибершпионаж на APT28 срещу множество европейски държави, включително Германия и Чехия.

Германия заяви, че руската група за заплахи е компрометирала много имейл акаунти, принадлежащи на членове на изпълнителния комитет на Социалдемократическата партия. Чешкото министерство на външните работи също разкри, че APT28 е била насочена към някои чешки институции в рамките на същата кампания Outlook през 2023 г.

При атаката нападателите са използвали уязвимостта CVE-2023-23397 в Microsoft Outlook – недостатък в сигурността, използван като нулев ден, за да атакуват членове на НАТО в Европа, украински правителствени агенции и корпуси за бързо реагиране на НАТО от април 2022 г.

„Призоваваме Русия да спре тази злонамерена дейност и да спазва международните си ангажименти и задължения. Заедно с ЕС и нашите съюзници от НАТО ще продължим да предприемаме действия за прекъсване на кибернетичните дейности на Русия, ще защитаваме нашите граждани и чуждестранни партньори и ще държим злонамерените участници отговорни“, се казва в изявление на Държавния департамент на САЩ.