Rosyjscy cyberszpiedzy nie zwalniają – kulisy ataków na kraje Europy Środkowo-Wschodniej

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online
  • W ostatnich miesiącach analitycy ESET odnotowali nasilające się działania cyberszpiegów z rosyjskich grup APT.
  • Najczęściej atakowane były instytucje rządowe i obronne, a także firmy z sektora technologicznego i transport
  • Zdradzamy kulisy tych ataków, prezentując przykłady i schematy działań konkretnych ataków.

Cyfrowe oblicze wojny

Analitycy ESET podsumowali działania grup APT w ostatnim półroczu (październik ’24-marzec ’25)[1]. W odniesieniu do poprzedniej edycji raportu wciąż najbardziej aktywne pozostają grupy powiązane z Chinami (odpowiadają za 40,1% działań) oraz Rosją (25,7%). Zauważalna jest również aktywność grup powiązanych z Koreą Północną (14,4%) oraz Iranem (9,1%).

Grupy APT to zazwyczaj cyberprzestępcy z organizacji państwowych lub organizacji, które działają w imieniu państw. Koncentrują się na ukierunkowanych i wyrafinowanych operacjach cybernetycznych, aby przeniknąć do systemów celów wysokiego szczebla (organizacji rządowych, korporacji) i pozostać w nich niewykrytymi przez dłuższy czas. Robią to głównie w celu długoterminowego cyberszpiegostwa i kradzieży poufnych danych. Ugrupowania APT dysponują szeroką wiedzą, zaawansowanymi narzędziami i technikami oraz ogromnymi budżetami.

Jedną z najbardziej aktywnych grup powiązanych z Chinami, która nadal intensywnie atakuje europejskie organizacje jest Mustang Panda. Grupa wciąż koncentruje się na sektorze transportu morskiego i organizacjach rządowych, a jej celami były m.in. Polska, Wielka Brytania i Norwegia.

– Nasz raport pokazuje, że w całej Europie to podmioty rządowe pozostawały głównym celem działań szpiegowskich prowadzonych przez grupy APT, podczas gdy na pozostałych kontynentach kluczowym celem ataków jest sektor technologiczny. Ponadto sektor obronny znalazł się na 4. miejscu celów grup APT w Europie, a w przypadku pozostałych kontynentów w żadnym z nich nie znalazł się w TOP 5. Największą intensywność cyberataków odnotowano w Ukrainie – głównie w wyniku uporczywych kampanii grup powiązanych z Rosją, wymierzonych w krytyczną infrastrukturę i instytucje rządowe tego kraju. – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

Mapa

Cyberszpiedzy z Rosji z długofalową kampanią

Jedną z najbardziej znaczących w ostatnim półroczu była operacja RoundPress. Przeprowadzona prawdopodobnie przez rosyjską grupę cyberszpiegowską Sednit kampania rozpoczęła się jeszcze w 2023 roku i była kontynuowana w 2024 roku, obejmując swoim zasięgiem instytucje rządowe i zbrojeniowe głównie w Europie Środkowo-Wschodniej. Szczególnie niepokojące jest ukierunkowanie ataków na podmioty zaangażowane w produkcję i dostawy uzbrojenia dla Ukrainy, co wskazuje na strategiczne cele działań hakerskich. Analitycy ESET wskazują na powiązania operacji RoundPress z rosyjskim wywiadem wojskowym GRU.

– Grupa Sednit, prawdopodobnie powiązana z wywiadem wojskowym GRU, działa co najmniej od 2004 roku. Jest to jedna z grup odpowiedzialnych za włamanie do systemów Partii Demokratycznej tuż przed wyborami prezydenckimi w USA w 2016 roku. Grupa ta jest również uznawana za sprawcę ataku na telewizję TV5Monde oraz wycieku e-maili Światowej Agencji Antydopingowej (WADA). Stopień zaawansowania działań grupy świadczy o wysokim poziomie organizacji i wsparcia państwowego. Wśród celów operacji RoundPress zidentyfikowano urzędy państwowe i firmy zbrojeniowe różnych krajów, co wskazuje na próby pozyskiwania informacji dotyczących pomocy militarnej dla Ukrainy oraz działań dyplomatycznych innych państw. – dodaje Kamil Sadkowski.

Zaczyna się od phishingu

Wiadomość e-mail na ogół wygląda na nieszkodliwą i zawiera tekst dotyczący bieżących wydarzeń. Przykładowo, we wrześniu 2024 roku grupa Sednit rozesłała wiadomość phishingową z adresu kyivinfo24@ukr[.]net, której temat brzmiał: „SBU zatrzymała bankiera, który pracował dla wrogiego wywiadu wojskowego w Charkowie”.

Treść phishingowej wiadomości w formie newslettera zawiera fragmenty (w języku ukraińskim) oraz odnośniki do artykułów z „Kyiv Post”, znanego ukraińskiego dziennika. Złośliwy kod JavaScript, znajdujący się wewnątrz kodu HTML treści wiadomości jest niewidoczny dla użytkownika. Jego wykonanie po otwarciu wiadomości pozwala uzyskać dostęp np. do maili ofiary.Fake news Ukraina

Inne, podobne działanie zostało skierowane przeciw bułgarskim użytkownikom sieci jeszcze w listopadzie.

– E-mail został wysłany z przejętego adresu, a jego temat sugerował, że prezydent USA, Donald Trump zaakceptował rosyjskie warunki w kwestii wojny. Treść imitowała wiadomości z linkami do artykułów z News.bg, czyli znanego bułgarskiego serwisu informacyjnego. – dodaje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.Fake news Bułgaria

Podobne działania opierające się o powyższy schemat mogą być wdrażane w różnych krajach Europy Środkowo-Wschodniej, znajdujących się w bezpośrednim zainteresowaniu GRU.

Ponadto w końcówce 2024 roku analitycy ESET zidentyfikowali działania cyberszpiegów wykorzystujące podatności w przeglądarce Mozilla oraz systemie operacyjnym Microsoft Windows. Zostały one przeprowadzone przez grupę RomCom założoną w 2022 r. i znaną wcześniej z ataków na ukraińskie jednostki rządowe i z sektora bezpieczeństwa.

Cyberszpiedzy uzyskiwali wysokie uprawnienia w systemie Windows i instalowali złośliwe oprogramowanie bez jakiejkolwiek interakcji ze strony użytkownika. Według danych telemetrycznych ESET, ta technika została użyta w szeroko zakrojonej kampanii, wymierzonej nawet w 250 potencjalnych ofiar.

Gamaredon – największa rosyjska grupa nadal aktywna

Swoje działania wciąż kontynuuje Gamaredon, jedna z najbardziej aktywnych rosyjskich grup APT. Ich działania stały się bardziej zaawansowane i wykorzystują nowe techniki zaciemniania kodu, np. dodawanie w kodzie adresów fałszywych serwerów zdalnej kontroli, aby utrudnić analizę. W październiku 2024 roku zanotowano rekordową liczbę unikalnych próbek złośliwego oprogramowania tej grupy.

– Z kolei w listopadzie pojawiło się nowe narzędzie stworzone przez cyberszpiegów – PteroBox. To złośliwe oprogramowanie, które kradnie pliki (dokumenty Office, PDF-y, obrazy, bazy danych) i wysyła je na Dropboxa. Gamaredon nie tylko działa agresywnie, ale też stale udoskonala swoje metody. To przypomnienie, że ochrona danych i infrastruktury wymaga ciągłej czujności – szczególnie w newralgicznych sektorach – podsumowuje Kamil Sadkowski.

Mustang Panda nadal intensywnie atakuje europejskie organizacje i jest najbardziej aktywną grupą powiązaną z Chinami, jaką widzieliśmy działającą w Europie. Grupa wciąż koncentruje się na sektorze transportu morskiego

i organizacjach rządowych, a jej celami były m.in. Polska, Wielka Brytania i Norwegia.

[1] https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q4-2024-q1-2025.pdf

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Coś dla Ciebie