Od początku rosyjskiej inwazji na Ukrainę Rosja stosuje różnego rodzaju taktyki, w tym wojnę cybernetyczną, aby przechylić szalę na swoją korzyść. Teraz, według badaczy bezpieczeństwa z Computer Emergency Response Team of Ukraine (CERT-UA), sponsorowani przez państwo rosyjscy hakerzy z grupy APT28 to wykorzystywanie ukraińskich pracowników rządowych za pomocą złośliwego oprogramowania podszywającego się pod aktualizacje systemu Windows w celu kradzieży ważnych informacji.
Ataki te obejmują rosyjskich hakerów wysyłających złośliwe wiadomości e-mail zawierające instrukcje dotyczące aktualizacji systemu Windows w celu obrony przed cyberatakami. Jednak zamiast dostarczać uzasadnionych instrukcji, wiadomość e-mail zawiera polecenie PowerShell, które pobiera skrypt PowerShell. Następnie ten skrypt symuluje fałszywą aktualizację systemu Windows podczas pobierania drugiego ładunku w tle, który jest narzędziem zbierającym i wysyłającym dane do interfejsu API usługi Mocky za pośrednictwem żądania HTTP. Ponadto, aby te złośliwe e-maile wyglądały bardziej wiarygodnie, atakujący utworzyli również fałszywe adresy e-mail @outlook.com, używając prawdziwych nazwisk administratorów systemu.
Aby zapobiec temu, by pracownicy padli ofiarą tego ataku, CERT-UA poradził wszystkim administratorom systemu, aby ograniczyli możliwość uruchamiania PowerShell na krytycznych komputerach i monitorowali ruch sieciowy pod kątem połączeń z interfejsem API usługi Mocky.
Nie jedyny cyberatak na Ukrainę
Wojna między Rosją a Ukrainą trwa już ponad rok i nie jest to pierwszy raz, kiedy sponsorowana przez państwo grupa APT28 została powiązana z cyberatakami na Ukrainę. W rzeczywistości Grupa Analizy Zagrożeń Google poinformowała niedawno, że ponad 60% wszystkich cyberataków i e-maili phishingowych wymierzonych w Ukrainę pochodziło z Rosji, przy czym znaczna część z nich to APT28.
W miarę przedłużania się wojny a Ukrainie uda się utrzymać pozycję, Rosja prawdopodobnie rozpocznie nowe formy ataków, aby osłabić obronę Ukrainy. Dlatego firmy i instytucje rządowe muszą szkolić swoich pracowników w zakresie identyfikowania i zgłaszania podejrzanych wiadomości e-mail oraz aktualizowania oprogramowania.
