Grupa komputerowych włamywaczy określana kryptonimem „Diukowie” co najmniej od 2008r. prowadziła działania na rzecz Rosji. Atakowali oni – oprócz celów w Polsce – także instytucje publiczne w Czechach, na Ukrainie, w Gruzji, Kazachstanie, Kirgistanie, Azerbejdżanie i Uzbekistanie, a także indywidualne osoby przebywające na Węgrzech, w Belgii, Luksemburgu oraz Hiszpanii. Działania włamywaczy były nastawione na gromadzenie danych dotyczących polityki zagranicznej oraz obronnej wybranych państw. Do ich celów należały takie organizacje, jak ministerstwa spraw zagranicznych, ministerstwa obrony, ambasady, parlamenty, kontrahenci wojskowi oraz think tanki.

Szybkie włamania

Ataki były prowadzone szybko. Po przełamaniu zabezpieczeń następowało gromadzenie i wydobywanie jak największej ilości danych. Jeśli okazało się, że zaatakowany cel był wartościowy, Diukowie szybko zmieniali pakiet narzędzi i przechodzili na bardziej dyskretną taktykę, skupiając się na trwałym dostępie i długofalowym gromadzeniu informacji.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• Cyberwojna trwa na Bliskim Wschodzie
• Rosja użyła technologii rozpoznawania twarzy. Chce wiedzieć, kto był na pogrzebie Nawalnego

W ramach operacji wykorzystywano m.in. specjalnie spreparowane dokumenty biurowe (Microsoft Office Word, PDF) zawierające złośliwy kod, który uruchamiał oprogramowanie szpiegujące. Treść przesyłanych dokumentów nawiązywała do ważnych, bieżących wydarzeń społecznych i politycznych, takich jak np. kryzys ukraiński, co zwiększało prawdopodobieństwo otwarcia, a tym samym skuteczność ataku.

Rosyjski wątek

Diukowie to najprawdopodobniej rosyjska grupa cyberszpiegowska, sponsorowana przez państwo. Z analiz sposobu działania oraz skali prowadzonych ataków wynika, że hakerzy posiadają rozbudowaną strukturę oraz mają zapewniony dostęp do stabilnych źródeł finansowania. Cechą charakterystyczną organizacji jest także wyraźne lekceważenie informacji demaskujących część ich operacji. Zdaniem analityków sugeruje to, że beneficjenci Diuków są tak wpływowi i tak ściśle powiązani z grupą, że hakerzy mogą działać bez obaw o ewentualne reperkusje. W ich opinii jednym beneficjentem mogącym zaoferować tak kompleksową ochronę jest rząd państwa, w którym operuje dana grupa. Warto także zauważyć, że nigdy nie odnotowano ataków Diuków na podmioty związane z rządem rosyjskim.

Pomimo, że analitycy F-Secure nie mogą jednoznacznie przypisać żadnemu krajowi odpowiedzialności za działania Diuków, wszystkie dostępne poszlaki sugerują, że grupa operuje w imieniu Federacji Rosyjskiej. Co więcej, nie są obecnie znane żadne fakty, które podważałyby tę teorię. Analizy znaczników czasowych kompilacji wskazują, że twórcy złośliwego oprogramowania Duke pracują głównie od poniedziałku do piątku między 6.00 a 16.00 czasu UTC+0 . Odpowiada to godzinom pracy od 9.00 do 17.00 w strefie czasowej UTC+3, znanej też jako Moskiewski Czas Standardowy, która obejmuje m.in. większą część zachodniej Rosji, w tym Moskwę i Sankt Petersburg.

Dwa lata temu redakcja działu bezpieczeństwa Computerworld otrzymała wiadomość zawierającą archiwum dokumentów finansowo-księgowych polskiej ambasady w Kiszyniowie. Nie wiemy jednak, czy wspomniana aktywność "Diuków" jest w jakikolwiek sposób związana z otrzymaną wiadomością.