Kybernetické útoky najnovšie mieria aj na organizácie a jednotlivcov, ktorí pomáhajú utečencom z Ukrajiny. Je možné, že niektoré z útokov vykonala hackerská skupina napojená na Bielorusko. Podľa amerických expertov v oblasti kybernetickej bezpečnosti majú útočníci prístup k e-mailovému účtu najmenej jedného ukrajinského vojenského dôstojníka.
Začiatkom tohto týždňa boli spustené phishingové útoky na rôzne ciele naprieč Ukrajinou, pričom predstierali, že pochádzajú od bezpečnostných služieb krajiny (SBU), a ponúkajú informácie o plánoch evakuácie. Ukrajinská vláda ihneď varovala, že sú falošné a dokumenty v e-mailoch sú v skutočnosti malvér.
Malvér potvrdili aj slovenskí experti
Forbes získal snímku obrazovky jedného z phishingových e-mailov, ktorý bol odoslaný na gmailový účet. Google upozorňuje, že „podobné správy boli použité na odcudzenie osobných údajov ľudí“.
Správy podľa SBU obsahovali prílohu s malvérom. Americkému Forbesu to neskôr potvrdili experti zo slovenskej internetovej bezpečnostnej spoločnosti ESET.
Podľa ich slov išlo o malvér založený na softvéri Remote Utilities od Microsoftu pre Windows, ktorý umožňoval vzdialený prístup k počítačom. „Vzorka je čerstvá, ale samotný malvér nie je veľmi sofistikovaný,“ povedal hovorca spoločnosti ESET.
Nebezpečné emaily
V stredu následne výskumníci z americkej kybernetickej spoločnosti Proofpoint potvrdili rôzne phishingové útoky s „evakuačnou tematikou“ zamerané na nemenovaný európsky vládny subjekt. Proofpoint sa pozrel na e-maily odoslané adresou končiacou na @ukr[.]net. Podľa expertov mohlo ísť o kompromitovaný e-mailový účet člena ozbrojených síl Ukrajiny.
E-maily, ktoré sa zameriavali na personál európskej vlády zapojený do riadenia logistiky utečencov z Ukrajiny, prišli s predmetom: V SÚLADE S ROZHODNUTÍM NÚDZOVÉHO ZASADNUTIA BEZPEČNOSTNEJ RADY UKRAJINY Z 24.02. 2022.
Tabuľka v e-maile obsahovala malvér známy ako SunSeed. „Funkciou SunSeed bolo fungovať ako cesta, ktorá zabezpečí vstup do infikovaného počítača, čo následne umožní inštaláciu ďalšieho škodlivého softvéru,“ vysvetlil Proofpoint.
Na Facebooku koluje varovanie pred phishingom od Štátnej služby špeciálnej ochrany komunikácie a informácií Ukrajiny. Zdroj: Štátna služba špeciálnej ochrany komunikácie a informácií Ukrajiny / Forbes US
Útok na jednotlivcov, ktorí pomáhajú
„Prednostne sa tiež hackeri zameriavali na jednotlivcov zodpovedných za dopravu, správu financií a pohyb obyvateľstva vrámci Európy,“ uviedli výskumníci Proofpoint v blogu zverejnenom v stredu 2. marca.
„Táto kampaň môže predstavovať pokus o získanie informácií o logistike okolo pohybu financií, zásob a ľudí v rámci členských krajín NATO. Možnosť využitia spravodajských informácií o pohyboch utečencov v Európe na dezinformačné účely je osvedčenou súčasťou techník ruského a bieloruského štátu,“ píše sa ďalej v správe Proofpoint.
Catherine Woolard, riaditeľka Európskej rady pre utečencov a exulantov, čo je aliancia 105 mimovládnych organizácií v 39 európskych krajinách, sa pre Forbes vyjadrila, že v komunite bolo viac phishingových správ ako zvyčajne, hoci nepočula o žiadnych úspešných útokoch.
„Počúvame to z celého sektora aj od spriaznených subjektov, napríklad politických nadácií,“ podotkla. „Pomerne málo našich členov má zavedené rozsiahle bezpečnostné opatrenia. Tie navyše doteraz zavádzali skôr v reakcii na dohľad zo strany vlastných vlád,“ dodala Woolard.
Odkaz na Bielorusko?
Výskumníci „predbežne“ pripísali útoky skupine všeobecne známej ako UNC1151, ktorú s bieloruskou vládou prepojili ďalší výskumníci kybernetickej bezpečnosti. Vyjadrili sa, že hoci neexistujú žiadne zjavné technické prepojenia, správanie a načasovanie útokov poukazovalo na UNC1151, tiež známu ako Ghostwriter.
Analýza spoločnosti Proofpoint prišla krátko po vyjadrení tímu ukrajinskej vlády pre počítačovú a núdzovú bezpečnosť.
„Nedávno boli pozorované hromadné phishingové e-maily zamerané na súkromné účty ‚i.ua‘ a ‚meta.ua‘ ukrajinského vojenského personálu a príbuzných jednotlivcov. Cieľom bolo prevziať e-mailové účty a použiť kontaktné údaje z adresára obete na odosielanie ďalších phishingových e-mailov. Bezpečnostní experti obvinili UNC1151 a tvrdili, že jeho členovia boli dôstojníci ministerstva obrany Bieloruskej republiky,“ uviedli v reakcii.
Spoločnosť Mandiant, ktorá sa zaoberá kybernetickou bezpečnosťou, neskôr pripísala útoky skupine spojenej s Bieloruskom.
Zavádzajúce videá
Spoločnosť Google 1. marca uviedla, že zaznamenala zameranie hackerov na ukrajinských vládnych a vojenských predstaviteľov. „Tieto pokusy sme zablokovali a v dôsledku tejto kampane sme nezaznamenali žiadne kompromitovanie účtov Google,“ uviedla spoločnosť v stanovisku.
Zablokovanie nasledovalo po tom, čo Facebook povedal v podstate to isté o zacielení na svojich používateľov na Ukrajine. Sociálna sieť zaznamenala pokusy zacieliť sa na profily ľudí na Facebooku, aby tí zverejnili videá zobrazujúce ukrajinské jednotky ako slabé a vzdávajúce sa Rusku. A to vrátane jedného videa, ktoré malo ukazovať ukrajinských vojakov vychádzajúcich z lesa s bielou vlajkou kapitulácie.
Bieloruské veľvyslanectvo v Londýne do vydania článku nereagovalo na žiadosť o komentár.
Plánované útoky
Medzitým ESET v ten istý deň zverejnil správu, ktorá naznačuje, že kybernetické útoky zamerané na zničenie ukrajinských vládnych a obchodných počítačov sa spustili niekoľko hodín pred začatím pozemnej invázie.
„Keďže malvér bol vytvorený prinajmenšom v októbri 2021, zdá sa, že útoky boli plánované niekoľko mesiacov,“ dodala spoločnosť.
Článok vyšiel na Forbes US. Autorom článku je Thomas Brewster.
Našli ste chybu? Napíšte nám na editori@forbes.sk