Ukraińcy narazili dziesiątki rządowych komputerów na kradzież danych i może nie byłoby w tym nic szczególnego, gdyby nie fakt, że wpadkę zaliczyli pobierając pirackiego Windowsa 10.
Wojna na Ukrainie trwa również w przestrzeni cybernetycznej, a niniejszym sukces w tej materii może dopisać sobie niestety rosyjski agresor. Jak donosi firma Mandiant, spółka zależna Google zajmująca się bezpieczeństwem, dziesiątki komputerów należących do ukraińskich jednostek rządowych mogło zostać okradzionych z wrażliwych danych. Przy czym wektor zrealizowanego ataku chluby obrońcom nie przynosi.
Ukraińskie instytucje miały dać się złapać na pirackie ISO systemu Windows 10, które w okresie od maja do lipca br. dystrybuowano w lokalnych sieciach torrent. Wedle opisu instalator oferował wyciętą telemetrię Microsoftu, blokując do tego automatyczne aktualizacje oraz weryfikację licencji. Istotnie, wymienione funkcje działały bez zająknięcia, obok niech jednak paczka zawierała też liczne backdoory interpretera PowerShell, umożliwiające infiltrację zarażonych urządzeń.
Wśród szkodników znaleziono m.in.: narzędzie Stowaway, służące do przekierowywania ruchu sieciowego, pakiet kontroli zdalnej Cobalt Strike, a także Sparepart, niewielki backdoor pozwalający na wykonywanie poleceń czy rejestrowanie naciśnięć klawiszy. Co ciekawe, jak zauważono, w niektórych przypadkach hakerzy próbowali zainstalować ponadto anonimową przeglądarkę TOR, choć nie wiadomo w jakim dokładnie celu (alternatywny kanał transferowania danych?).
Korzystanie z trojanizowanych ISO jest nowością w operacjach szpiegowskich i obejmuje funkcje zapobiegające wykryciu, co wskazuje, że ludzie stojący za tą działalnością są świadomi bezpieczeństwa i cierpliwi, ponieważ operacja wymagałaby znacznego czasu i zasobów na opracowanie i oczekiwanie na ISO zainstalowany w sieci będącej przedmiotem zainteresowania
– czytamy w raporcie firmy Mandiant.
Badaczom nie udało się ustalić, jaki był konkretnie cel ataku. Mając na uwadze losowość metody, podejrzewa się, że zrobiono coś na kształt badania przesiewowego. Zatem, skanowano losowe punkty, licząc na szczęśliwy traf. Pewną poszlakę stanowi tylko to, że zwiększoną aktywność wykryto w instytucjach już w przeszłości atakowanych przez APT28, rosyjską grupę hakerską finansowaną przez sam Kreml.
Źródło zdjęć: Drop of Light / Shutterstock
Źródło tekstu: Mandiant, oprac. własne
