Czy polskie instytucje były celem ataków hakerskich sponsorowanych przez Rosję?

bezpieczeństwo

F-Secure odkrywa mechanizmy trwającego 7 lat cyberszpiegostwa na rzecz Federacji Rosyjskiej.

Hakerzy z grupy „Diuków” (The Dukes) przez przynajmniej 7 lat gromadzili dane dotyczące polskiej polityki zagranicznej oraz obronnej. Działania Diuków były prowadzone od 2008 r. na rzecz Rosji – wynika z analiz firmy F-Secure, zajmującej się bezpieczeństwem informatycznym.

Diukowie prowadzili swoje działania na terenie Europy przynajmniej od 2008 r. Poza Polską, ataki skierowane były m.in. na instytucje publiczne w Czechach, na Ukrainie, w Gruzji, Kazachstanie, Kirgistanie, Azerbejdżanie i Uzbekistanie, a także indywidualne osoby przebywające na Węgrzech, w Belgii, Luksemburgu oraz Hiszpanii.

Działania hakerów były nastawione na gromadzenie danych dotyczących polityki zagranicznej oraz obronnej wybranych państw. Do ich celów należały takie organizacje, jak ministerstwa spraw zagranicznych, ministerstwa obrony, ambasady, parlamenty, kontrahenci wojskowi oraz think tanki.

Ataki były realizowane metodą „rozbij i łap”, która polega na szybkim, choć hałaśliwym włamaniu, po którym następuje gromadzenie i wydobywanie jak największej ilości danych. Jeśli okazało się, że zaatakowany cel był wartościowy, Diukowie szybko zmieniali pakiet narzędzi i przechodzili na bardziej dyskretną taktykę, skupiając się na trwałym dostępie i długofalowym gromadzeniu informacji.

W ramach operacji wykorzystywano m.in. specjalnie spreparowane, złośliwe dokumenty Worda i  PDF, które wysyłano jako załączniki e-mail w celu zinfiltrowania wybranych organizacji. Oprogramowanie szpiegujące automatycznie rozpoczynało proces instalacji w momencie otwarciu plików. Treść przesyłanych dokumentów nawiązywała do ważnych, bieżących wydarzeń społecznych i politycznych, takich jak np. kryzys ukraiński, co zwiększało prawdopodobieństwo otwarcia, a tym samym skuteczność ataku.

Zdaniem ekspertów F-Secure Diukowie to najprawdopodobniej rosyjska grupa cyberszpiegowska, sponsorowana przez państwo. Z analiz sposobu działania oraz skali prowadzonych ataków wynika, że hakerzy posiadają rozbudowaną strukturę oraz mają zapewniony dostęp do stabilnych źródeł finansowania.

Cechą charakterystyczną organizacji jest także wyraźne lekceważenie informacji demaskujących część ich operacji. Zdaniem analityków F-Secure sugeruje to, że beneficjenci Diuków są tak wpływowi i tak ściśle powiązani z grupą, że hakerzy mogą działać bez obaw o ewentualne reperkusje. W ich opinii jednym beneficjentem mogącym zaoferować tak kompleksową ochronę jest rząd państwa, w którym operuje grupa.

Pomimo, że analitycy F-Secure nie mogą jednoznacznie przypisać żadnemu krajowi odpowiedzialności za działania Diuków, wszystkie dostępne poszlaki sugerują, że grupa operuje w imieniu Federacji Rosyjskiej. Co więcej, nie są obecnie znane żadne fakty, które podważałyby tę teorię.

Ponadto, analizy znaczników czasowych kompilacji wskazują, że twórcy złośliwego oprogramowania Duke pracują głównie od poniedziałku do piątku między 6.00 a 16.00 czasu UTC+0 . Odpowiada to godzinom pracy od 9.00 do 17.00 w strefie czasowej UTC+3, znanej też jako Moskiewski Czas Standardowy, która obejmuje m.in. większą część zachodniej Rosji, w tym Moskwę i Sankt Petersburg.

Nasi analitycy zwrócili również uwagę, iż pomimo, że Diukowie brali dotychczas na cel instytucje państwowe z całego świata, nigdy nie odnotowano ataków na podmioty związane z rządem rosyjskim.

Dodatkowe informacje na temat działalności grupy Diuków można znaleźć w tym dokumencie.

VG_F-Secure_Infographic

Tagi

Oceń artykuł

0 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: