Rosyjska grupa dywersyjna Cozy Bear rozsyła europejskim dyplomatom oprogramowanie szpiegowskie ukryte w zaproszeniu na degustację wina.
Świat się zmienia, ale fundamentalne potrzeby dyplomatów w ogóle. Tak można powiedzieć, po lekturze informacji udostępnionych przez izarealsko-amerykańską firmę Check Point działającą w obszarze cyberbezpieczeństwa.
Przypomina ona, jak w ubiegłym roku rosyjscy cyberdywersanci z grupy Cozy Bear, znanej również jako APT 29, wzięli na celownik niemieckich polityków. Wysyłali do nich mejle z zaproszeniem na przyjęcie. Kto kliknął w link prowadzący do szczegółów dobrze zapowiadającej się imprezy, ten zamiast darmowej wyżerki, dostawał złośliwe szpiegowskie oprogramowanie.
Teraz, jak donosi Check Point, rosyjscy szpiedzy powtarzają ten manewr w Europie, nieco modyfikując swoje narzędzia i cele.
Tym razem wysyłają do dyplomatów zaproszenie na degustację wina. Przychodzi ono w e-mailu przypominającym pismo z Ministerstwa Spraw Zagranicznych anonimowego kraju europejskiego. Jeżeli adresaci adresaci je zignorowali, oszuści wysyłali mejla z przypomnieniem.
W temacie wiadomości z fałszywym zaproszeniem znalazły się takie zwroty jak „Degustacja wina (data aktualizacji)”, „Do kalendarza ambasadora” i „Kolacja dyplomatyczna”.
Jak działa szpiegowski trojan?
Wiadomość, podobnie jak ta sprzed roku, zawierała link prowadzący do tajemniczego serwera. Kliknięcie w niego nie oznacza, że od razu na komputer ofiary zostanie ściągnięte szpiegowskie oprogramowanie. To rozwiązanie jest bardziej wyrafinowane. Pobieranie danych rozpocznie się tylko w określonych warunkach, na przykład w określonym czasie lub lokalizacji geograficznej. Rosjanie nie polują więc na wszystkich dyplomatów, tylko na niektórych…
Jeśli ofiara cyberataku, spełnia kryteria atakujących, kliknięcie linku z zaproszeniem spowoduje pobranie archiwum o nazwie wine.zip. W innych przypadkach odnośnik kieruje do legalnej strony w witrynie internetowej ambasady, która rzekomo wysłała wiadomość z zaproszeniem na degustację wina.
Check Point szczegółowo opisuje zawartość achiwum wine.zip i co ono robi. W skrócie, instaluje ono szpiegowskie oprogramowanie na komputerze dyplomaty, które pozwala bezpośrednio z Moskwy mieć pełen dostęp do wszystkich plików na nim.
Amerykański i izraelscy specjaliści rozpoznali, kto stoi za tym atakiem po analizie kodu rozsyłanego oprogramowania. Zidentyfikowana grupa Cozy Bear to jedna z najpotężniejszych i najbardziej produktywnych grup zajmujących się cyberprzestępczością w Moskwie. Kierowana przez rosyjski wywiad zagraniczny znana jest od lat z ataków na zachodnie firmy i instytucje.
To jej cyberdywersanci atakowali Pentagon, komitet wyborczy amerykańskich demokratów przed pierwsza wygraną Trumpa, rządy w Norwegii i w Holandii. Próbowali też wykraść dane szczepionki na COVID.
Cozy Bear zaliczyło też kompromitującą wpadkę. W 2014 roku hakerzy holenderskiego wywiadu włamali się do kamer przemysłowych w biurach rosyjskiej grupy. No i można sobie było ich pooglądać przy pracy dla dobra Rasiji i jej cara.
Foto: ChatGPT/AI.