Польская военная контрразведка и киберспециалисты зафиксировали ведение масштабной шпионской киберкампании, направленной на сбор данных от дипломатических ведомств стран Запада.
Как сообщает «Европейская правда», соответствующее заявление разместили на портале польского правительства.
Злонамеренную активность заметила контрразведка и специалисты по кибербезопасности CERT Polska, они связывают кампанию с российским ГРУ. Атака направлена против дипломатических ведомств в странах-членах ЕС и НАТО и, в некоторых случаях, в Африке.
Как отмечают, многие элементы этой кампании полностью или частично повторяют активность, которую у Microsoft прозвали NOBELIUM, а у Mandiant – APT29. Стоящие за ней, скорее всего, связаны и с кампанией SOLARWINDS и инструментами SUNBURST, ENVYSCOUT, BOOMBOX, как и рядом других шпионских кампаний.
Впрочем, есть и отличия – используемое на этот раз программное обеспечение ранее публично не описывалось. Это, в частности, модифицированная версия SNOWYAMBER, HALFRIG, QUATERRIG. Новые инструменты, вероятно, заменили более старые, эффективность которых уменьшилась.
Во всех выявленных случаях для кампании использовались типичные фишинговые техники – сотрудникам дипучреждений поступают письма якобы от имени посольств другой европейской страны, где речь идет о приглашении на встречу или об определенных документах.
В теле письма или в добавленном PDF содержится ссылка, которая перенаправляет либо на календарь посла, либо на файл, который нужно загрузить. На самом деле, ссылка ведет на скомпроментированный сайт со скриптом ENVYSCOUT, с помощью которого вирусный файл со страницы декодируется через JavaScript и попадает на устройство пользователя.
Киберспециалисты заметили три разных версии ENVYSCOUT, использованные для этой кампании.
Как отмечают, на момент публикации заявления кампания продолжается и учреждениям, которые могут быть интересны злоумышленникам, стоит дополнительно позаботиться о кибербезопасности.
Ведомство отмечает, что раскрыло эту информацию с целью усложнить злоумышленникам их работу.
Как сообщалось, ЕС планирует выделить более 1 млрд евро на проект защиты от киберугроз.
