Druga strana rata u Ukrajini: vojnici iza računara rade ono što pešadija ne može

Nakon napada na Ukrajinu i vojne kampanje koja je još uvek u toku proruske virtuelne trupe nastavljaju napade kako bi došli do što većeg broja kredencijala korisnika, objavio je Google.
Jedna od skorijih kampanja došla je od Turla ekipe, koja je aktivna još od 1997. godine i koja slovi za jedne od tehnički najsofisticiranijih sajber kriminalaca na svetu. Ova grupa je ciljala proukrajinske volontere preko Android aplikacija, koje su trebale da budu osnova za pokretanje DoS napada na ruske sajtove.
Maliciozne aplikacije
Uz aplikaciju piše: „Sve što treba da uradite da biste pokrenuli proces je da instalirate aplikaciju, otvorite je i pritisnete start. Aplikacija odmah počinje da šalje zahteve ruskim veb lokacijama da preplave njihove resurse i izazovu uskraćivanje usluge.“

Jedan od Google istraživača iz grupe za analizu pretnji je naveo da aplikacija šalje jedan GET zahtev ciljnoj veb lokaciji. Drugi Google istraživač je anonimno rekao da je aplikacija dizajnirana da mapira internet infrastrukturu korisnika i da „sazna gde se nalaze ljudi koji potencijalno vrše ovakve napade“.
StopWar aplikacija
Aplikacije, hostovane na domenu koji lažira ukrajinski puk Azov, oponašale su drugu Android aplikaciju koja se ma Google prvi put pojavila u martu, a koja je takođe tvrdila da izvodi DDoS napade na ruske sajtove. Za razliku od Turla aplikacija, stopwar.apk, kako je potonja aplikacija nazvana, neprekidno šalje zahteve sve dok ih korisnik ne zaustavi.

Google istraživač Bili Leonard je napisao da na osnovu interne analize, veruju da su aplikaciju StopWar razvili proukrajinski programeri i da je ona bila inspiracija za ono na čemu su Turla hakeri zasnivali svoju lažnu CyberAzov DoS aplikaciju.
Druge hakerske grupe koje potvrđeno finansira Kremlj takođe su ciljale ukrajinske grupe. Kampanje su uključivale Follina ranjivost u svim podržanim verzijama Windows operativnog sistema.
Druge hakerske grupe
Google istraživači su potvrdili izveštaj CERT-UA iz juna koji kaže da druga hakerska grupa koju sponzoriše Kremlj – poznata pod raznim imenima uključujući Fancy Bear, poznatu kao Pawn Storm, Sofacy Group i APT28 takođe koristi Follina ranjivost u pokušaju da zarazi mete malverom poznatim kao CredoMap. Pored toga, Google je rekao da Sandworm — još jedna grupa koju sponzoriše ruska vlada — takođe eksploatiše Follina ranjivost. Ta kampanja je koristila kompromitovane vladine naloge za slanje linkova ka Microsoft Office dokumentima koji se nalaze na kompromitovanim domenima, prvenstveno ciljajući na medijske organizacije u Ukrajini.

U međuvremenu, bezbednosna firma Palo Alto Networks izvestila je u utorak da je ruska hakerska grupa Cloaked Ursa (poznata i kao APT29, Nobelium i Cozy Bear) takođe pojačala malware napade od početka ruske invazije na Ukrajinu, delom tako što je napravila maliciozne datoteke koje su bile dostupne na Dropbox i Google Drive. Obaveštajne službe SAD i Velike Britanije su javno pripisale APT29 Ruskoj spoljnoj obaveštajnoj službi (SVR).
Drugi hakeri
Nisu sve grupe koje ciljaju Ukrajinu sponzorisane od strane Kremlja, navodi Google. Nedavno je finansijski motivisana ekipa poznata kao UAC-0098 lažno predstavljala Državnu poresku službu Ukrajine i isporučila maliciozne dokumente koji su pokušali eksploatisali Follina ranjivost.
U sredu je američka US Cyber Command podelila tehničke detalje u vezi sa, kako je agencija rekla, nekoliko vrsta malvera koji ciljaju ukrajinske entitete poslednjih meseci. Uzorci malicioznog softvera dostupni su na VirusTotal, Pastebin i GitHub. Bezbednosna firma Mandiant saopštila je da su dve odvojene špijunske grupe koristile malver, jednu poznatu kao UNC1151 i koju Mandiant pripisuje beloruskoj vladi, a drugu poznatu kao UNC2589, za koji se veruje da podržava interes ruske vlade i da ga sprovodi obimna kolekcija špijunaže u Ukrajini.

Evropska unija je ove nedelje takođe prozvala rusku vladu, napominjući da je nedavna DDoS kampanja samo poslednji primer sajber napada koje je pokrenula od svoje invazije.
„Neisprovociranu i neopravdanu vojnu agresiju Rusije na Ukrajinu prati značajan porast malicioznih sajber aktivnosti, uključujući upečatljiv i zabrinjavajući broj hakera i hakerskih grupa koje neselektivno ciljaju suštinske subjekte na globalnom nivou“, napisali su zvaničnici EU. „Ovo povećanje malicioznih sajber aktivnosti, u kontekstu rata protiv Ukrajine, stvara neprihvatljive rizike od efekata prelivanja, pogrešnog tumačenja i moguće eskalacije.“