Wojna im nie przeszkadza. Cyberprzestępcy z Białorusi i Rosji atakują Polaków

Threat Analysis Group (TAG) w Google'u, której jest szefem, to zespoł monitorujący ruch sieciowy 24 godz. na dobę i skupiający się na bezpieczeństwie użytkowników usług Google'a oraz największych platform informacyjnych na świecie. Skupiają się więc przede wszystkim na atakach cyberprzestępców zorientowanych na kradzieże danych, dostępów lub pieniędzy. Choć wiele takich grup działa na Wschodzie - szczególnie w Rosji i na Białorusi - to okazuje się, że wojna nie przeszkadza im w tym, by "robić swoje".

W ciągu ostatnich dwunastu miesięcy TAG wysłał setki ostrzeżeń do ukraińskich użytkowników, którzy byli celami ataków hakerskich wspieranych przez rządy państw, głównie przez rząd rosyjski. Jednak w ostatnich dwóch tygodniach analitycy zauważyli też wzmożoną aktywność dwóch znanych dobrze grup cyberprzestępczych: FancyBear i Ghostwriter. Ich działania obejmują zarówno kampanie szpiegowskie, jak i phishingowe.

FancyBear oznaczane też jako APT28 to grupa hakerska powiązana z rosyjskim wywiadem GRU, która od lat uprzykrza życie Ukraińcom. W ostatnim czasie organizuje główine kampanie phishingowe, ale świat słyszał o niej nie raz - ot, choćby jak w 2018 r., gdy niemal skutecznie zmasowanym atakiem botów zablokowali transmisję na żywo finału piłkarskiej Ligi Mistrzów, który odbywał się w Kijowie. W ostatnich miesiącach atakowali kampaniami phishingowymi m.in. użytkowników Ukr.net - ukraińskiej firmy mediowej i portalu.

Z kolei Ghostwriter Polakom powinien być znany bardzo dobrze, choć ta grupa ma akurat powiązania białoruskie. To cyberprzestępcy spod tej bandery stoją za aferą z wyciekającymi mailami Michała Dworczyka. Jak pisaliśmy w Magazynie Spider's Web+ o tej sprawie, "już w lipcu 2020 r. opublikowała ona raport opisujący szczegółowo kampanię „Ghostwriter”, która skupiała się na przejmowaniu kont w mediach społecznościowych na Litwie, Łotwie i w Polsce". Potem zaczęły się przejęcia kont polskich polityków.

Google wykrył, że w zeszłym tygodniu Ghostwriter prowadził kampanie phishingowe przeciwko rządowi polskiemu i ukraińskiemu. Ale to nie wszystko, bo były też ataki na osoby prywatne. - Rosja i Europa to jedno z najbardziej aktywnych miejsc, jeśli chodzi o cyberprzestępczość w ogóle. W ostatnich latach zajmowaliśmy się głównie przestępcami, którzy działali z pobudek finansowych. Dla nich nie mają znaczenia okoliczności, sytuacja polityczna czy wojna. Wprost przeciwnie - wykorzystają każdą okazję do oszustw, by tylko ukraść jeszcze więcej pieniędzy. Widzimy ich aktywność także teraz - wyjaśnia Shane Huntley w rozmowie ze Spider'S Web.

I dodaje, że ostatnimi kampaniami phishingowymi zagrożeni byli także użytkownicy kilku portali ze skrzynkami mailowymi. Z polskich stron zaatakowano jedynie użytkowników poczty na wp.pl. Fałszywe domeny, do których kierowali przestępcy, założone były na Blogspocie. Google chwali się, że zostały one szybko zablokowane przez wbudowaną w przeglądarkę Chrome usługę Google Safe Browsing. Na szczęście na razie nie widać bardzo wzmożonej aktywności przestępców.

- Generalnie od dłuższego czasu obserwujemy permanentne ataki, które odbywają się na różnych poziomach skali i natężenia. To nie jest tak, że teraz coś odkryliśmy, a wcześniej nic się nie działo. Na co dzień ostrzegamy każdego pojedynczego użytkownika, który może się stać lub stał się celem ataków sponsorowanych przez obce rządy. Wschodnia Europa zawsze jest wyjątkowo interesującym regionem do działań w cyberprzestrzeni szczególnie dla Rosji. To trwa już długo, ale nie widzieliśmy jeszcze nagłego wzrostu czy wyraźnych pików w atakach - mówi nam ekspert.

Widać także wiele ataków DDoS skierowanych w strony ukraińskich ministerstw i usług takich jak Liveuamap. Google rozszerzył w związku z tym dostęp do swej bezpłatnej usługi Project Shield. Do tej pory chroniła główne organizacje medialne i te związane z prawami człowieka. Teraz jest dostępna także dla ukraińskich stron rządowych i ambasad tego kraju, a także dla państw "znajdujących się w pobliżu kontaktu", w tym dla Polski. - Dostarczyliśmy rządowi polskiemu informacje na temat tych ataków. Rozszerzyliśmy też dostęp do Project Shield. Nie mamy wiedzy o tym, które z rządów i w jakim zakresie zaczęły z tego korzystać - mówi Huntley.

Typowe zachowania cyberprzestępców są groźne, ale mogłyby być jeszcze groźniejsze. - Nie mamy jednak dowodów czy nawet śladów tego, by te rosyjskie grupy przestępcze zaczęły wspierać grupy hakerskie związane z rządem. Nie widzimy przenikania się rosyjskich grup zajmujących się ransomwarem czy phishingiem z cybergrupami szpiegowskimi działającymi na rzecz Kremla. Istnieje jednak obawa, że gdyby rosyjscy cyberprzestępcy zdecydowali się dołączyć do wojny na takiej zasadzie jak Anonymous, stanowiłoby to z pewnością bardzo niebezpieczny rozwój sytuacji - podsumowuje ekspert.

O tym, że pilnować muszą się wszyscy, przekonaliśmy się w czwartek. Tego dnia od rana PKP ma ogromne kłopoty z funkcjonowaniem, pociągi zostały sparaliżowane. Władze spółki jako jedną z przyczyn wielkiej awarii biorą pod uwagę cyberatak.