Ostrzeżenie dla ukraińskich żołnierzy. Chodzi o kradzież danych

Zespół reagowania na incydenty komputerowe CERT-UA ujawnia wzmożoną aktywność grupy UAC-0184. Specjaliści wskazują, że celem kampanii realizowanej w tym roku jest pozyskanie dostępu do urządzeń przedstawicieli ukraińskiego wojska. Atakującym zależy na kradzieży dokumentów i danych z komunikatorów.

Ukraińscy żołnierze dostają wiadomości

Eksperci CERT-UA wskazują w analizie, że zwykle głównym kanałem dystrybucji złośliwego oprogramowania są popularne komunikatory. Sprawcy stosują socjotechnikę, aby nakłonić użytkownika do określonych działań. Przykładem może być przesłanie wiadomości-wabika. Tu tematy są różne, dotyczą m.in. prowadzonej sprawy karnej czy filmu z działań na froncie. 

Kradzież danych. Signal w centrum zainteresowania

W ramach kampanii atakujący wykorzystują różnego typu oprogramowanie. Mowa zarówno o narzędziach komercyjnych, jak i open source. CERT-UA wymienia tu np.: HijackLoadera, REMCOSRATA, VIOTTOKEYLOGGERA, XWORMA, SIGTOPA praz TUSC. 

Szczególną uwagę należy poświęcić tym dwóm ostatnim. Wynika to z faktu, że służą do kradzieży danych, w tym wiadomości i danych kontaktowych na Signalu. A ten komunikator jest popularny wśród wojskowych.

Akcja Rosji?

Ukraińscy specjaliści nie wskazują, na ile wrogie działania okazały się skuteczne. Nie podano żadnych informacji dotyczącej potencjalnej skali aktywności atakujących, ani też ich pochodzenia czy powiązania. Natomiast serwis Army Inform sugeruje, że to akcja hakerów z Rosji.

Kolejna taka operacja

Opisana wyżej kampania nie jest niczym nowym. Pod koniec lutego opisywaliśmy podobne działania wymierzone w ukraińskich wojskowych. Cyberataki miały miejsce 22 lutego, czyli tuż przed drugą rocznicą inwazji Rosji (24 lutego 2022 r.). 

Wtedy do przedstawicieli SZU, za pomocą Signala, wysyłane były pliki dotyczące rzekomych problemów z meldunkami. W praktyce był to nośnik złośliwego oprogramowania COOKBOX. 

Ostrzeżenie dla żołnierzy

Ukraińscy specjaliści ostrzegają i apelują o czujność. Podkreślają, że atakujący będą z czasem udoskonalać metody dystrybucji złośliwego oprogramowania. Zwrócono uwagę, że każda nieostrożna aktywność żołnierza w sieci (tu podano przykład udostępniania zdjęć w mundurze), ułatwia wrogim podmiotom identyfikację celów. 

Ataki na MON i polskich żołnierzy

Pamiętajmy, że zagrożenie nie dotyczy wyłącznie wojskowych i personelu cywilnego Sił Zbrojnych Ukrainy. Wojsko Polskie także jest nękane wrogimi działaniami, co potwierdzają statystyki CSIRT MON, przedstawione w Sprawozdaniu Pełnomocnika Rządu ds. Cyberbezpieczeństwa za 2023 r. Tylko w ubiegłym roku specjaliści zespołu odnotowali łącznie 5841 incydentów. 

Największa skala dotyczy operacji szpiegowskich. Infrastruktura Ministerstwa Obrony Narodowej jest atakowana z myślą o uzyskaniu dostępu do zasobów resortu i kradzieży cennych danych, np. dotyczących uzbrojenia przekazywanego Ukrainie.

Celem jednak jest nie tylko bezpośrednio MON, ale też osoby związane z Siłami Zbrojnymi RP. Jak informowaliśmy, w sprawozdaniu pełnomocnika przytoczono przykład próby kompromitacji konta Microsoft 365 żołnierza Wojsk Obrony Terytorialnej (WOT). To pokazuje, jak duża odpowiedzialność spoczywa zarówno na instytucjach państwowych, jak i pojedynczych użytkownikach.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].