Zespół CERT Polska oraz Służba Kontrwywiadu Wojskowego zaobserwowały kampanię szpiegowską łączoną z działaniami rosyjskich służb specjalnych. Celem kampanii było nielegalne pozyskiwanie informacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych, w większości znajdujących się w państwach należących do NATO i Unii Europejskiej.
Wiele elementów zaobserwowanej kampanii, takich jak infrastruktura, wykorzystane techniki oraz narzędzia, częściowo lub całkowicie pokrywa się z opisywanymi w przeszłości aktywnościami grupy określanej przez Microsoft mianem „NOBELIUM”, zaś przez Mandiant jako „APT29”. Grupa ta związana jest m.in. z kampanią zwaną „SOLARWINDS”, narzędziami „SUNBURST”, „ENVYSCOUT” i „BOOMBOX”, a także licznymi innymi kampaniami o charakterze wywiadowczym.
Działania wykryte oraz opisane przez CERT Polska i SKW wyróżniają się jednak na tle poprzednich wykorzystaniem unikalnego, nieodnotowanego wcześniej publicznie oprogramowania. Nowe narzędzia były używane równolegle i niezależnie od siebie lub też kolejno, zastępując starsze rozwiązania, których skuteczność spadała. Pozwalało to sprawcom na utrzymanie ciągłości działań.
We wszystkich zaobserwowanych przypadkach sprawcy korzystali z techniki spear phishingu. Do wyselekcjonowanych pracowników placówek dyplomatycznych wysyłane były wiadomości e-mail podszywające się pod ambasady krajów europejskich. Korespondencja zawierała zaproszenie na spotkanie lub do wspólnej pracy nad dokumentami. W treści wiadomości lub w załączonym dokumencie PDF zawarty był link kierujący rzekomo do kalendarza ambasadora, szczegółów spotkania lub pliku do pobrania.
W rzeczywistości odnośnik kierował do przejętej strony, na której umieszczony był charakterystyczny dla tej grupy skrypt. Korzystał on z techniki „HTML Smuggling” – przy jej użyciu złośliwy plik jest odkodowywany w momencie otwarcia strony, a następnie pobierany na urządzenie ofiary. Skrypt wyświetlał również stronę internetową, której treść miała utwierdzić ofiarę w przekonaniu, że pobrała prawidłowy załącznik.
Sprawcy wykorzystywali różne techniki, aby nakłonić potencjalne ofiary do uruchomienia pobranego złośliwego oprogramowania. Jedną z nich był plik skrótu udający dokument, w rzeczywistości uruchamiający ukrytą bibliotekę DLL. Zaobserwowano również technikę „DLL Sideloading”, polegającą na użyciu podpisanego pliku wykonywalnego do załadowania i wykonania złośliwego kodu zawartego w dołączonej bibliotece DLL. Na późniejszym etapie kampanii nazwa pliku wykonywalnego zawierała dodatkowo wiele spacji, aby utrudnić zauważenie rozszerzenia exe.
CERT Polska i SKW uczulają, że kampania wciąż trwa i ma charakter rozwojowy. Dlatego rekomendują wszystkim podmiotom mogącym znajdować się w obszarze zainteresowania atakujących wdrożenie mechanizmów mających na celu podniesienie bezpieczeństwa wykorzystywanych systemów informatycznych i zwiększenie wykrywalności ataków. Przykładowe zmiany konfiguracyjne oraz mechanizmy detekcji zostały zaproponowane w ich rekomendacjach.
Szczegółowe rekomendacje zmian konfiguracyjnych oraz dokładny opis przebiegu kampanii szpiegowskiej znaleźć można na odpowiednich stronach.
W języku polskim:
https://www.gov.pl/baza-wiedzy/kampania-szpiegowska-wiazana-z-rosyjskimi-sluzbami-specjalnymi
W języku angielskim:
https://www.gov.pl/baza-wiedzy/espionage-campaign-linked-to-russian-intelligence-services
