Cyberbezpieczeństwo
Nowy backdoor DeliveryCheck atakuje ukraiński sektor obrony. Stoją za nim Rosjanie
Nowy backdoor DeliveryCheck to narzędzie, które wykorzystują Rosjanie w nowej kampanii ataków na ukraiński sektor obrony. Wykryli go specjaliści CERT-UA we współpracy z Microsoftem.
Backdoor znany jako DeliveryCheck (a także jako CAPYBAR i GAMEDAY) to nowe narzędzie, którymi rosyjscy hakerzy z grupy Turla posługują się w atakach na ukraiński sektor obrony. Lukę wykryli specjaliści ukraińskiego centrum reagowania na incydenty w cyberprzestrzeni CERT-UA wraz z ekspertami Microsoftu.
Grupa Turla , znana też jako Iron Hunter, Secret Blizzard, Uroburos, Waterbug czy Venomous Bear, od lat atakuje Ukrainę - i podlega pod Federalną Służbę Bezpieczeństwa Rosji .
Jak działa DeliveryCheck?
DeliveryCheck dystrybuowany jest przez pocztę elektroniczną w formie dokumentów zawierających złośliwe makra. Działa w oparciu o zaplanowane zadanie, które pobiera i uruchamia w pamięci. Następnie kontaktuje się z serwerem C2, który przysyła mu komendy - np. wykonania kodu osadzonego w arkuszach stylu XSLT - czytamy w serwisie Hacker News , który opisuje nowy backdoor.
W niektórych przypadkach ataku z wykorzystaniem DeliveryCheck odnotowano również dystrybucję złośliwego oprogramowania Kazuar, którym posługuje się grupa Turla. Służy ono do wykradania plików konfiguracyjnych aplikacji, logów i szerokiej gamy danych z przeglądarek internetowych.
Czego poszukują hakerzy?
Według ekspertów - chcą pozyskać wiadomości z aplikacji do szyfrowanej komunikacji Signal w wersji na Windowsa. Pozwoli to na przejęcie wrażliwych danych, dokumentów i zdjęć - w skrócie, chodzi zatem o szpiegostwo.
Rosja wie, że Ukraińcy posługują się w swoich działaniach szyfrowanymi komunikatorami - i nie ma cenniejszych danych, niż przejęcie wiadomości, w szczególności tych wymienianych w ramach sektora obrony.
Pozwoli to m.in. zmapować dokładniej zasoby naszego wschodniego sąsiada, który broni się od 24 lutego 2022 r. przed pełnoskalową inwazją Władimira Putina.
Zbieżność przypadkowa?
Nowy backdoor został ujawniony mniej więcej w tym samym czasie, kiedy ukraińska cyberpolicja poinformowała o rozbiciu dużej farmy rosyjskich botów realizujących operacje informacyjne. Pisaliśmy o tym na łamach naszego serwisu w tym tekście . Hacker News zwraca uwagę na koincydencję czasową obu zdarzeń - być może nie jest ona przypadkowa, a rosyjscy cyberprzestępcy działający na zlecenie Władimira Putina działają na wielu frontach jednocześnie.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
