Польша заметила фишинговую киберкампанию с российским следом, направленную против стран Запада

Польская военная контрразведка и киберспециалисты зафиксировали ведение масштабной шпионской киберкампании, направленной на сбор данных от дипломатических ведомств стран Запада.

Как сообщает «Европейская правда», соответствующее заявление разместили на портале польского правительства.

Злонамеренную активность заметила контрразведка и специалисты по кибербезопасности CERT Polska, они связывают кампанию с российским ГРУ. Атака направлена ​​против дипломатических ведомств в странах-членах ЕС и НАТО и, в некоторых случаях, в Африке.

Как отмечают, многие элементы этой кампании полностью или частично повторяют активность, которую у Microsoft прозвали NOBELIUM, а у Mandiant – APT29. Стоящие за ней, скорее всего, связаны и с кампанией SOLARWINDS и инструментами SUNBURST, ENVYSCOUT, BOOMBOX, как и рядом других шпионских кампаний.

Впрочем, есть и отличия – используемое на этот раз программное обеспечение ранее публично не описывалось. Это, в частности, модифицированная версия SNOWYAMBER, HALFRIG, QUATERRIG. Новые инструменты, вероятно, заменили более старые, эффективность которых уменьшилась.

Во всех выявленных случаях для кампании использовались типичные фишинговые техники – сотрудникам дипучреждений поступают письма якобы от имени посольств другой европейской страны, где речь идет о приглашении на встречу или об определенных документах.

 

В теле письма или в добавленном PDF содержится ссылка, которая перенаправляет либо на календарь посла, либо на файл, который нужно загрузить. На самом деле, ссылка ведет на скомпроментированный сайт со скриптом ENVYSCOUT, с помощью которого вирусный файл со страницы декодируется через JavaScript и попадает на устройство пользователя.

Киберспециалисты заметили три разных версии ENVYSCOUT, использованные для этой кампании.

Как отмечают, на момент публикации заявления кампания продолжается и учреждениям, которые могут быть интересны злоумышленникам, стоит дополнительно позаботиться о кибербезопасности.

Ведомство отмечает, что раскрыло эту информацию с целью усложнить злоумышленникам их работу.

Как сообщалось, ЕС планирует выделить более 1 млрд евро на проект защиты от киберугроз.

Источник