- W ostatnich miesiącach analitycy ESET odnotowali nasilające się działania cyberszpiegów z rosyjskich grup APT.
- Najczęściej atakowane były instytucje rządowe i obronne, a także firmy z sektora technologicznego i transport
- Zdradzamy kulisy tych ataków, prezentując przykłady i schematy działań konkretnych ataków.
Cyfrowe oblicze wojny
Analitycy ESET podsumowali działania grup APT w ostatnim półroczu (październik ’24-marzec ’25)[1]. W odniesieniu do poprzedniej edycji raportu wciąż najbardziej aktywne pozostają grupy powiązane z Chinami (odpowiadają za 40,1% działań) oraz Rosją (25,7%). Zauważalna jest również aktywność grup powiązanych z Koreą Północną (14,4%) oraz Iranem (9,1%).
Grupy APT to zazwyczaj cyberprzestępcy z organizacji państwowych lub organizacji, które działają w imieniu państw. Koncentrują się na ukierunkowanych i wyrafinowanych operacjach cybernetycznych, aby przeniknąć do systemów celów wysokiego szczebla (organizacji rządowych, korporacji) i pozostać w nich niewykrytymi przez dłuższy czas. Robią to głównie w celu długoterminowego cyberszpiegostwa i kradzieży poufnych danych. Ugrupowania APT dysponują szeroką wiedzą, zaawansowanymi narzędziami i technikami oraz ogromnymi budżetami.
Jedną z najbardziej aktywnych grup powiązanych z Chinami, która nadal intensywnie atakuje europejskie organizacje jest Mustang Panda. Grupa wciąż koncentruje się na sektorze transportu morskiego i organizacjach rządowych, a jej celami były m.in. Polska, Wielka Brytania i Norwegia.
– Nasz raport pokazuje, że w całej Europie to podmioty rządowe pozostawały głównym celem działań szpiegowskich prowadzonych przez grupy APT, podczas gdy na pozostałych kontynentach kluczowym celem ataków jest sektor technologiczny. Ponadto sektor obronny znalazł się na 4. miejscu celów grup APT w Europie, a w przypadku pozostałych kontynentów w żadnym z nich nie znalazł się w TOP 5. Największą intensywność cyberataków odnotowano w Ukrainie – głównie w wyniku uporczywych kampanii grup powiązanych z Rosją, wymierzonych w krytyczną infrastrukturę i instytucje rządowe tego kraju. – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Cyberszpiedzy z Rosji z długofalową kampanią
Jedną z najbardziej znaczących w ostatnim półroczu była operacja RoundPress. Przeprowadzona prawdopodobnie przez rosyjską grupę cyberszpiegowską Sednit kampania rozpoczęła się jeszcze w 2023 roku i była kontynuowana w 2024 roku, obejmując swoim zasięgiem instytucje rządowe i zbrojeniowe głównie w Europie Środkowo-Wschodniej. Szczególnie niepokojące jest ukierunkowanie ataków na podmioty zaangażowane w produkcję i dostawy uzbrojenia dla Ukrainy, co wskazuje na strategiczne cele działań hakerskich. Analitycy ESET wskazują na powiązania operacji RoundPress z rosyjskim wywiadem wojskowym GRU.
– Grupa Sednit, prawdopodobnie powiązana z wywiadem wojskowym GRU, działa co najmniej od 2004 roku. Jest to jedna z grup odpowiedzialnych za włamanie do systemów Partii Demokratycznej tuż przed wyborami prezydenckimi w USA w 2016 roku. Grupa ta jest również uznawana za sprawcę ataku na telewizję TV5Monde oraz wycieku e-maili Światowej Agencji Antydopingowej (WADA). Stopień zaawansowania działań grupy świadczy o wysokim poziomie organizacji i wsparcia państwowego. Wśród celów operacji RoundPress zidentyfikowano urzędy państwowe i firmy zbrojeniowe różnych krajów, co wskazuje na próby pozyskiwania informacji dotyczących pomocy militarnej dla Ukrainy oraz działań dyplomatycznych innych państw. – dodaje Kamil Sadkowski.
Zaczyna się od phishingu
Wiadomość e-mail na ogół wygląda na nieszkodliwą i zawiera tekst dotyczący bieżących wydarzeń. Przykładowo, we wrześniu 2024 roku grupa Sednit rozesłała wiadomość phishingową z adresu kyivinfo24@ukr[.]net, której temat brzmiał: „SBU zatrzymała bankiera, który pracował dla wrogiego wywiadu wojskowego w Charkowie”.
Treść phishingowej wiadomości w formie newslettera zawiera fragmenty (w języku ukraińskim) oraz odnośniki do artykułów z „Kyiv Post”, znanego ukraińskiego dziennika. Złośliwy kod JavaScript, znajdujący się wewnątrz kodu HTML treści wiadomości jest niewidoczny dla użytkownika. Jego wykonanie po otwarciu wiadomości pozwala uzyskać dostęp np. do maili ofiary.
Inne, podobne działanie zostało skierowane przeciw bułgarskim użytkownikom sieci jeszcze w listopadzie.
– E-mail został wysłany z przejętego adresu, a jego temat sugerował, że prezydent USA, Donald Trump zaakceptował rosyjskie warunki w kwestii wojny. Treść imitowała wiadomości z linkami do artykułów z News.bg, czyli znanego bułgarskiego serwisu informacyjnego. – dodaje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Podobne działania opierające się o powyższy schemat mogą być wdrażane w różnych krajach Europy Środkowo-Wschodniej, znajdujących się w bezpośrednim zainteresowaniu GRU.
Ponadto w końcówce 2024 roku analitycy ESET zidentyfikowali działania cyberszpiegów wykorzystujące podatności w przeglądarce Mozilla oraz systemie operacyjnym Microsoft Windows. Zostały one przeprowadzone przez grupę RomCom założoną w 2022 r. i znaną wcześniej z ataków na ukraińskie jednostki rządowe i z sektora bezpieczeństwa.
Cyberszpiedzy uzyskiwali wysokie uprawnienia w systemie Windows i instalowali złośliwe oprogramowanie bez jakiejkolwiek interakcji ze strony użytkownika. Według danych telemetrycznych ESET, ta technika została użyta w szeroko zakrojonej kampanii, wymierzonej nawet w 250 potencjalnych ofiar.
Gamaredon – największa rosyjska grupa nadal aktywna
Swoje działania wciąż kontynuuje Gamaredon, jedna z najbardziej aktywnych rosyjskich grup APT. Ich działania stały się bardziej zaawansowane i wykorzystują nowe techniki zaciemniania kodu, np. dodawanie w kodzie adresów fałszywych serwerów zdalnej kontroli, aby utrudnić analizę. W październiku 2024 roku zanotowano rekordową liczbę unikalnych próbek złośliwego oprogramowania tej grupy.
– Z kolei w listopadzie pojawiło się nowe narzędzie stworzone przez cyberszpiegów – PteroBox. To złośliwe oprogramowanie, które kradnie pliki (dokumenty Office, PDF-y, obrazy, bazy danych) i wysyła je na Dropboxa. Gamaredon nie tylko działa agresywnie, ale też stale udoskonala swoje metody. To przypomnienie, że ochrona danych i infrastruktury wymaga ciągłej czujności – szczególnie w newralgicznych sektorach – podsumowuje Kamil Sadkowski.
Mustang Panda nadal intensywnie atakuje europejskie organizacje i jest najbardziej aktywną grupą powiązaną z Chinami, jaką widzieliśmy działającą w Europie. Grupa wciąż koncentruje się na sektorze transportu morskiego
i organizacjach rządowych, a jej celami były m.in. Polska, Wielka Brytania i Norwegia.
[1] https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q4-2024-q1-2025.pdf
