NATO ponownie na celowniku cyberszpiegów z Pawn Storm

Akcja szpiegowska Pawn Storm, odpowiedzialna za ataki przeciw agencjom rządowym oraz instytucjom z sektora obronnego staje się coraz bardziej aktywna. Obecnie obiera na cel kraje członkowskie NATO i Biały Dom.

Pawn Storm jest aktywną ekonomiczną i polityczną operacją szpiegowską przeprowadzaną za pomocą Internetu. Za tą operacją stoi grupa specjalistów, która za pomocą wielu połączonych ze sobą narzędzi atakuje wybrany cel, podobnie, jak ma to miejsce w przypadku strategii szachowej o tej samej nazwie.

Feike Hacquebord, badacz z firmy Trend Micro pisze na blogu: „Aktywność grupy włamywaczy obserwowano co najmniej od 2007r. Grupa używa trzech wyróżniających się scenariuszy ataków: pierwszy jest kampanią spear phishing i zakłada wysłanie sfałszowanych wiadomości zawierających dokumenty Microsoft Office z osadzonym złośliwym oprogramowaniem SEDNIT/Sofacy. Drugi scenariusz zakładał użycie specjalnie przygotowanych eksploitów do ataków na polskie strony rządowe, prowadząc na końcu do tego samego malware'u. Trzecia część ataku obejmowała wysłanie wiadomości phishingowych, przekierowujących do fałszywych stron logowania portalu Outlook Web Access. Ataki kampanii Pawn Storm były skierowane przeciw wojskowym, rządowym oraz medialnym organizacjom w USA oraz krajach sojuszniczych. Ustaliliśmy, że grupa atakowała także rosyjskich dysydentów oraz opozycjonistów Kremla, ukraińskich aktywistów i organizacje wojskowe tego kraju. Biorąc pod uwagę cele, można spekulować, że z atakami może być powiązany rosyjski rząd”.

Zobacz również:

Nowe serwery kontroli, nowe kampanie phishingowe

W pierwszym kwartale bieżącego roku zaobserwowano wzrost aktywności tej grupy. Zainstalowała kilkanaście nowych adresów URL zawierających złośliwe oprogramowanie oraz nowe serwery kontroli botnetu. Atakowano agencje rządowe (w tym krajów członkowskich NATO) w Europie, Azji oraz na Bliskim Wschodzie. Akcja zaczęła się od kampanii phishingowej, w której wysyłano między innymi wiadomości związane budową południowego rurociągu, który ma uniezależnić kraje unijne od rosyjskiego gazu, a także wiadomości na temat konfliktu militarnego Rosja-Ukraina.

Feike Hacquebord informuje, że w wiadomościach umieszczono link prowadzący do strony, na której specjalny skrypt dokonywał analizy używanej przeglądarki i systemu operacyjnego, w tym także strefy czasowej oraz zainstalowanych wtyczek. Gdy spełnione były odpowiednie kryteria, serwer wysyłał wiadomość informującą o konieczności instalacji wtyczki HTML5. Wtyczka ta w istocie była złośliwym oprogramowaniem Sednit/Sofacy dla użytkowników Windows oraz X-Agent i Fysbis, które były przeznaczone do szpiegowania użytkowników Linuksa.

Monit instalacji fałszywej wtyczki do Firefoksa w systemie Ubuntu.

Monit instalacji fałszywej wtyczki do Firefoksa w systemie Ubuntu.

W obu przypadkach stosowano tę samą sztuczkę socjotechniczną, chociaż spyware z tej samej grupy było instalowane także z użyciem eksploitów na podatności dnia zerowego. Szczegółowe informacje o lukach i eksploitach związanych z rozpowszechnianiem tego złośliwego oprogramowania można znaleźć w analizie przypadku na blogu WeLiveSecurity.

Fałszywa strona logowania

Napastnicy opracowali również fałszywą stronę logowania Outlook Web Access, podobną do tej, z której korzysta duża amerykańska firma zajmująca się sprzedażą paliwa nuklearnego do elektrowni atomowych. Inne podobne strony OWA służyły do ataków przeciw resortom obrony dwóch krajów członkowskich NATO oraz biura łącznikowego NATO na Ukrainie.

Fałszywa strona logowania Outlook Web Access służyła do kradzieży loginów i haseł. Źródło - Trend Micro

Fałszywa strona logowania Outlook Web Access służyła do kradzieży loginów i haseł. Źródło - Trend Micro

Amerykańska taktyka, atak na Biały Dom

Napastnicy w swoich działaniach korzystają z doświadczeń wojskowych, w tym amerykańskich. Jedną z nich jest atakowanie bronionego celu nie w sposób bezpośredni, ale za pomocą przejmowanych kolejno innych podmiotów, miejsc lub zasobów, w których obrona jest znacznie słabsza. Taktykę żabich skoków zastosował gen. Douglas McArtur podczas II wojny światowej na Pacyfiku. Obecnie jest to standardowa taktyka stosowana także w działaniach cyberprzestępców.

Feike Hacquebord pisze: „Trend Micro pozyskał materiały dowodowe, które wskazują na to, że napastnicy stojący za atakami Pawn Storm zamierzają atakować Biały Dom. W styczniu 2015r. zaatakowali oni trzech popularnych blogerów, którzy cztery dni wcześniej przeprowadzili wywiad z Barrackiem Obamą. Ataki te wpisują się w klasyczną wojskową taktykę żabich skoków, w której napastnicy koncentrują się nie bezpośrednio na celu, ale na opanowaniu potencjalnie słabiej zabezpieczonych firm lub osób, które mogą z nim współpracować. W ten sposób atakowano również około 55 pracowników dużej amerykańskiej gazety”.