Polonia aseveró que un grupo de amenazas respaldado por el Estado y vinculado al servicio de inteligencia militar de Rusia (GRU) ha estado atacando instituciones gubernamentales polacas durante toda la semana.
Según la evidencia encontrada por CSIRT MON, el Equipo de Respuesta a Incidentes de Seguridad Informática del país (dirigido por el Ministro polaco de Defensa Nacional) y CERT Polska (el equipo polaco de respuesta a emergencias informáticas), los piratas informáticos estatales rusos APT28 atacaron múltiples instituciones gubernamentales a gran escala. campaña de phishing.
Los correos electrónicos de phishing intentaban engañar a los destinatarios para que hicieran clic en un enlace incrustado que les proporcionaría acceso a más información sobre una “misteriosa mujer ucraniana” que vendía “ropa interior usada” a “altas autoridades de Polonia y Ucrania”.
Una vez que hicieron clic, el enlace los redirigió a través de varios sitios web antes de llegar a una página que descargaba un archivo ZIP. El archivo contenía un ejecutable malicioso disfrazado de archivo de imagen JPG y dos archivos ocultos: una DLL y un script .BAT.
Si el objetivo abre el archivo ejecutable camuflado, carga la DLL mediante la carga lateral de la DLL, que ejecuta el script oculto. El guión muestra una foto de una mujer en traje de baño en el navegador Microsoft Edge como distracción mientras descarga simultáneamente un archivo CMD y cambia su extensión a JPG.
“El script que finalmente recibimos recopila solo información sobre la computadora (dirección IP y lista de archivos en carpetas seleccionadas) en la que se ejecutaron y luego los envía al servidor C2. Probablemente las computadoras de las víctimas seleccionadas por los atacantes reciban una información diferente. conjunto de scripts de punto final”, dijo CERT Polska.
Las tácticas y la infraestructura utilizadas en estos ataques son idénticas a las utilizadas en otra campaña altamente selectiva en la que los agentes de APT28 utilizaron señuelos de guerra entre Israel y Hamas para colocar puertas traseras en dispositivos de funcionarios de 13 naciones, incluidos miembros del Consejo de Derechos Humanos de las Naciones Unidas, con malware Headlace.
Desde que surgió a mediados de la década de 2000, el grupo de piratería respaldado por el Estado ruso ha coordinado muchos ataques cibernéticos de alto perfil y estuvo vinculado a la Unidad Militar 26165 de GRU en 2018.
Los piratas informáticos de APT28 estuvieron detrás de los ataques al Comité Nacional Demócrata (DNC) y al Comité de Campaña Demócrata del Congreso (DCCC) antes de las elecciones presidenciales de Estados Unidos de 2016 y la irrupción del Parlamento Federal Alemán (Deutscher Bundestag) en 2015.
Estados Unidos acusó a varios miembros del APT28 por su participación en los ataques del DNC y el DCCC en julio de 2018, mientras que el Consejo de la Unión Europea sancionó al APT28 en octubre de 2020 por el hackeo del Bundestag.
Hace una semana, la OTAN y la Unión Europea, con socios internacionales, también condenaron formalmente una campaña de ciberespionaje a largo plazo del APT28 contra múltiples países europeos, incluidos Alemania y Chequia.