Cyberprzestępcy na usługach rządów atakują nie tylko rządowe cele
Atakujemy rządy, ale firmy też są OK!
W Niebezpieczniku pisaliśmy już o tym, że ogólny poziom zabezpieczeń w polskich firmach może rozczarowywać, mimo iż specjaliści z tych samych firm obserwują ciągły wzrost intensywności zagrożeń. Firmom zagrażają grupy przestępcze działające dla zarobku, podwykonawcy tych grup (np. w ramach modeli RaaS), pomniejsi przestępcy okazjonalni oraz tzw. grupy APT (Advanced Persistent Threat) czyli dobrze zorganizowane zespoły cyberprzestępców sponsorowane przez rządy i dysponujące własnymi, nierzadko pomysłowymi narzędziami.
Tego typu grupy nie muszą atakować wyłącznie rządowych celów. Mogą uderzać w różnego rodzaju agencje, oddziały dużych korporacji, firmy istotne dla gospodarki kraju czy mniejszych podwykonawców dużych podmiotów (np. w celu zdobycia informacji).
Czy APT są bardzo aktywne?
Badanie aktywności grup APT nie jest łatwe, ale czołowi producenci zabezpieczeń robią to cały czas i publikują swoje ustalenia. Ostatni raport analityków ESET (ESET APT Activity Report Q4 2024-Q1 2025) opisuje działania grup APT wykryte przez badaczy tej firmy w okresie od października 2024 do marca 2025 roku. Raport dotyczy działań obserwowanych na całym świecie i w tym globalnym ujęciu widać wzrost aktywności grup na wszystkich kontynentach. Niektóre grupy (MirrorFace, GreenCube) rozszerzyły swój zasięg na nowe regiony i sektory.
Ciekawe są dwa trendy. Po pierwsze APT coraz częściej nadużywają ogólnodostępnych narzędzi jak np. SoftEther VPN albo platform chmurowych (Dropbox, OneDrive, GitHub, Zoho). Umożliwia to ukrywanie aktywności w “legalnym” ruchu sieciowym. Poza tym grupy takie jak Lazarus czy Kimsuky rozwijają techniki oparte na budowaniu zaufania z ofiarą. Zaczyna się od ofert pracy czy zaproszeń na konferencję, a dopiero potem dochodzi do przesłania złośliwych plików. Właśnie tego typu techniki dobrze się sprawdzają w środowiskach akademickich czy innych “eksperckich”.
— Największym błędem w ocenie zagrożeń APT jest przekonanie, że ich ataki dotyczą wyłącznie instytucji państwowych. Grupy atakują również podmioty prywatne, zwłaszcza te o wysokim poziomie wiedzy domenowej, infrastruktury lub danych. Tylko ciągła analiza technik, taktyk i procedur atakujących – realizowana w ramach threat intelligence – pozwala skutecznie przewidywać i neutralizować te zagrożenia – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Mapka poniżej (można kliknąć by powiększyć) pokazuje sektory rynku najczęściej atakowane w poszczególnych częściach świata. Co ciekawe, tylko w Europie najczęściej atakowany jest sektor rządowy co może być częściowo tłumaczone wzmożonym działaniem grup rosyjskich, które starają się coś ugrać w kontekście wojny na Ukrainie. W pozostałych częściach świata najbardziej zagrożony jest sektor technologiczny. Na liście obszarów atakowanych w Europie przez grupy APT mamy też edukację (co jest dość oryginalne), ubezpieczenia, firmy farmaceutyczne i nawet handel detaliczny.
Gdybyśmy porównali omawiany raport z jego wcześniejszą edycją (Q2 2024 – Q3 2024) to zauważylibyśmy, że wcześniej w ogóle nie odnotowywano aktywności APT w takich obszarach jak usługi prawne, handel, ubezpieczenia, edukacja czy usługi finansowe. Zapewne w przyszłości przekonamy się, czy ataki na nowe sektory będą się intensyfikować, czy pojawiły się tylko epizodycznie. Wypada jednak zauważyć, że wzrost liczby atakowanych obszarów zauważono na wszystkich kontynentach, ze szczególnym naciskiem na Europę.
Polska jest wspominana w raporcie w kontekście działania grup chińskich. Jedną z nich jest grupa Mustang Panda, która skupia się na sektorze transportu morskiego. Jej celami oprócz Polski były m.in. Wielka Brytania i Norwegia. Ta grupa wykorzystuje do ataków m.in. złośliwe dyski USB oraz eksperymentuje z tzw. ładunkami Korplug (określanymi również jako PlugX) . Do ich dostarczenia służą dobrze spreparowane wiadomości typu spear-phishing oraz fałszywe dokumenty. Grupa działa przynajmniej od 2012 roku i odnotowano jej kampanie skierowane na instytucje w Tajwanie, ale… nazwy plików z ładunkami używane przez tę grupę wskazują na zainteresowanie Europą i Polską. Ładunki Korplug autorstwa Mustang Panda wydają się dość oryginalne i pomysłowe, a powstały w takich językach jak Delphi, Go i Nim.
Często zaczyna się od maila
Ciekawym przykładem z ostatniego półrocza była operacja RoundPress przypisywana grupie Sednit (prawdopodobnie powiązaną z rosyjską GRU) i rozpoczęta prawdopodobnie jeszcze w roku 2023. Ukierunkowana była na podmioty zaangażowane w produkcję i dostawy uzbrojenia dla Ukrainy. W ramach tej operacji w listopadzie 2024 r. do potencjalnych ofiar wysyłano e-maile phishingowe w formie newslettera z odnośnikami do Kiyv Post albo bułgarskiego serwisu News.bg.
Przykładowa wiadomość phishingowa
Takie e-maile zawierały exploita XSS wykorzystującego niezałatane podatności. Ataki prowadziły do wykonania złośliwego kodu JavaScript w kontekście strony poczty webowej uruchomionej w oknie przeglądarki. Badacze ESET zidentyfikowali kilka ładunków JavaScript, z których większość zbierała wiadomości e-mail oraz informacje kontaktowe ze skrzynki ofiary w momencie otrzymania lub wyświetlenia złośliwej wiadomości e-mail w podatnym kliencie poczty webowej. Zebrane dane były następnie przesyłane do serwera C&C.
Co ważne – w celu skutecznego wykorzystania exploita ofiara musiała otworzyć wiadomość e-mail w podatnym interfejsie webmailowym. Wiadomość musiała więc najpierw ominąć filtry antyspamowe, a jej temat oraz treść musiały być na tyle wiarygodne i ciekawe, aby skłonić ofiarę do przeczytania wiadomość.
– W ciągu ostatnich dwóch lat serwery webmailowe, takie jak Roundcube czy Zimbra, stały się głównym celem kilku grup szpiegowskich, w tym Sednit, GreenCube oraz Winter Vivern. Ponieważ wiele organizacji nie aktualizuje regularnie swoich serwerów webmailowych, a podatności mogą być wykorzystywane zdalnie poprzez samo wysłanie wiadomości e-mail, tego typu ataki są dla cyberprzestępców bardzo wygodnym sposobem na kradzież danych z poczty elektronicznej – wyjaśnia Matthieu Faou, analityk ESET, który odkrył operację RoundPress.
W końcówce 2024 roku analitycy ESET zidentyfikowali też działania cyberszpiegów wykorzystujące podatności w przeglądarce Mozilla i systemie Windows. Zostały one przeprowadzone przez grupę RomCom założoną w 2022 r. i znaną wcześniej z ataków na ukraińskie jednostki rządowe i z sektora bezpieczeństwa. Przestępcy uzyskiwali wysokie uprawnienia w systemie Windows i instalowali złośliwe oprogramowanie bez jakiejkolwiek interakcji ze strony użytkownika. Według danych telemetrycznych ESET technika została użyta w szeroko zakrojonej kampanii wymierzonej w 250 potencjalnych ofiar. Nawiasem mówiąc, grupa RomCom jest łączona także ransomware’em Cuba. W tym kontekście warto przypomnieć, że ransomware nie zawsze ma znaczenie wyłącznie zarobkowe i może tak naprawdę służyć atakom destrukcyjnym albo szpiegowsko-dezinformacyjnym.
Gamaredon to jeszcze jedna z aktywnych rosyjskich grup cyberprzestępczych. Jej kampanie są coraz bardziej wyrafinowane – stosują m.in. nowe metody zaciemniania kodu, takie jak umieszczanie fikcyjnych adresów serwerów C&C w celu zmylenia analityków. Październik 2024 roku był miesiącem, który przyniósł rekordowy wzrost liczby unikalnych próbek złośliwego oprogramowania powiązanych z tą grupą.
I co można z tym zrobić?
Po pierwsze znaczna część zagrożeń przychodzi pocztą elektroniczną w postaci fałszywych wiadomości. Dobrze jest mieć zatem rozwiązania antyspoofingowe czyli takie, które pozwolą wykryć podszywanie się przestępców pod osoby z firmy lub inne zaufane źródła informacji. Oczywiście mamy w tym obszarze pewne dobrze już znane rozwiązania jak np. DomainKeys Identified Mail (DKIM), który sprawdza podpisy wiadomości e-mail, Sender Policy Framework (SPF), który weryfikuje serwer nadawcy, oraz Domain-based Message Authentication, Reporting & Conformance (DMARC), który umożliwia domenie nadawcy poinformowanie odbiorcy, co zrobić, jeśli wiadomość nie przejdzie wcześniejszych dwóch metod uwierzytelniania.
Z pomocą może też przyjść ESET Cloud Office Security. Nawet jeśli atakujący przejmą prawdziwe konto e-mail i wykorzystają je do wysyłania złośliwych wiadomości, to produkt ESET może rozpoznać zagrożenie, ponieważ adres IP powiązany z serwerem e-mail różni się od tego podanego w rekordzie SPF (nie przechodzi kontroli SPF). Co więcej, firmy chronione przez ESET Cloud Office Security mogą ustawić zasady, które przepuszczają tylko wiadomości z poprawnie zapisanymi nazwami domen. Funkcja ta rozpozna fałszywą domenę „℮s℮t.com”, ponieważ znak „℮” (symbol szacunkowy) ma inny kod Unicode niż litera alfabetu „e”. Zapobiegnie to tzw. oszustwu homograficznemu.
ESET Cloud Office Security ma również fukcję ułatwiająca zarządzanie wiadomościa poddanymi kwarantannie, a ulepszony pulpit ESET Cloud Office Security dostarcza kluczowych informacji, takich jak łączna liczba chronionych użytkowników, wykorzystanie licencji, użytkownicy otrzymujący najwięcej spamu, złośliwych i phishingowych wiadomości e-mail, a także listy najbardziej podejrzanych kont lub grup/stron w OneDrive, Google Drive, SharePoint i Teams. Administratorzy mają wgląd w wykrycia dotyczące Exchange Online, Gmaila, OneDrive, Google Drive, SharePoint i Teams – obejmujące spam, złośliwe oprogramowanie oraz phishing.
Jak wspomniano wyżej, elementem działań APT mogą być również ataki ransomware. Warto więc zaopatrzyć się w dobre rozwiązania do backupowania danych, a są wśród nich i takie, które mogą aktywować się w momencie wykrycia tego typu zagrożenia.
Nie tylko transport i telekomunikacja, ale także handel, ubezpieczenia, edukacja i rolnictwo – organizacje z tych sektorów są celem ataków grup APT, czyli zaawansowanych grup przestępczych działających na zlecenie rządów. Sposób działania tych grup coraz częściej opiera się na budowaniu relacji i korzystaniu z tzw. zaufanych kanałów komunikacji.
23-400 Ruda-Zagrody 10b