W internecie trwa wojna totalna. Rosjanie atakują Ukrainę i państwa bałtyckie, a ich atakują Chińczycy
Wojna może odwróciła oczy widzów w kierunku tradycyjnego pola bitwy, ale nie mniej ciekawie jest w cyberprzestrzeni. Rosjanie oraz Białorusini nieustannie przeprowadzają ataki na ważne instytucje i postaci. Celem jest nie tylko Ukraina, ale i państwa bałtyckie. Google właśnie wykrył kolejne profesjonalne hakerskie grupy, które są aktywne w trakcie wojny, w tym zwiąane z rządem chińskim.
Sytuacja jest na stabilnym poziomie - wynika z analizy zespołu Google’s Threat Analysis Group (TAG) - czyli na takim, że Ukraina i kraje bałtyckie są nieustannie atakowane z kilku stron naraz od tygodni. Jak wyjaśnia Billy Leonard z zespołu TAG, teraz dodatkowo "zaobserwowano, że przestępcy coraz częściej atakują instytucje związane z infrastrukturą krytyczną związaną z ropociągami, gazociągami, telekomunikacją i przemysłem".
Atakuje kilka grup jednocześnie, a każda wiązana jest przez ekspertów z rządami poszczególnych krajów. I tak znana dobrze grupa APT28 vel FancyBear skupia się aktualnie na rozsyłaniu ważnym osobom z Ukrainy zainfekowanego pliku o nazwie "ua_report.zip", który w rzeczywistości jest plikiem, który po otworzeniu wykrada z przeglądarek Chrome, Edge i Firefox pliki cookies wraz z hasłami.
Grupa APT28 związana jest z GRU - wywiadem wojskowym Rosji. Z kolei grupa Turla kojarzona jest przez specjalistów Google’a z FSB, czyli Federalną Służbą Bezpieczeństwa Rosji. To właśnie ludzie z Turli skupiają się na atakowaniu krajów bałtyckich, a konkretniej działających w tych krajach grup zajmujących się cyberprzestępczością i obronnością.
Schemat jest podobny, jak u kolegów z wywiadu wojskowego: wysyłają mail z linkiem do pliku .docx, który w rzeczywistości jest plikiem .png instalującym się na komputerze ofiary i siejącym tam szkody. Google nie podaje jednak szczegółów, jakie dokładnie to szkody. Podobnie działa rosyjska grupa Coldriver (zwana też czasem Callisto) oraz białoruski Ghostwriter, ale obie próbują wysyłać phishingowe maile przez Gmaila, co jest od razu blokowane. W międzyczasie Ghostwriter próbował też rozsyłać w Litwie fałszywe strony logowania do Facebooka.
Chińczycy atakują Rosjan
Jednak nie wszystkie działa wymierzone są w Ukrainę. Curious Gorge to grupa powiązana ze Strategicznymi Siłami Wsparcia Armii Ludowo-Wyzwoleńczej (PLASSF). To z kolei jeden z oddziałów chińskiej armii zajmujący się kwestiami cyberprzestrzeni, przestrzeni kosmicznej i walką elektroniczną.
Przestępcy z Curious Gorge idą szeroko: atakują instytucje rządowe, wojskowe, logistyczne i przemysłowe w Ukrainie, Rosji i Centralnej Azji. W Rosji szczególnie na celowniku - i to od długiego czasu - jest tamtejsze Ministerstwo Spraw Zagranicznych. "W ostatnim tygodniu zidentyfikowaliśmy dodatkowe próby ataków na wielu rosyjskich producentów sprzętu obronnego i na jedną z firm transportowych" - czytamy w raporcie TAG.
Poza atakami hakerskimi nie ustają próby rozsiewania dezinformacji m.in. w polskiej infosferze. Najnowsze narracje dotyczą m.in. rzekomych głodujących Polaków (oczywiście z winy Ukraińców) oraz ataku w Tyraspolu. Dokładniej te narracje opisaliśmy w tym artykule. Raport zespołu Google’a TAG można przeczytać tutaj.
