Rosjanie atakują niemieckich polityków
Zgodnie z raportem organizacji Mandiant rosyjscy cyberprzestępcy używają złośliwego oprogramowania o nazwie „WINELOADER” do ataku na niemieckie partie polityczne. Za procederem stoi tzw. grupa Midnight Blizzard, powiązaną ze Służbą Wywiadu Zagranicznego Federacji Rosyjskiej (SWR RF) lub FSB. Grupa znana jest też jako APT29, BlueBravo czy Cozy Bear.
Ich działania są częścią szerszej kampanii, która obejmuje także włamanie się do systemów SolarWinds i Microsoft.
APT29 stosuje phishing
Metoda ataków opiera się głównie na wysyłaniu wiadomości phishingowych. Rosyjscy cyberprzestępcy podszywają się pod 2. największą niemiecką partię – Unię Chrześcijańsko-Demokratyczną (CDU). Cyberprzestępcy próbują zwabić swoje ofiary, tworząc maile, w których zapraszają je na rzekome przyjęcia.
Rosjanie wykorzystują fałszywe linki, które następnie nakierowują ofiary na złośliwe oprogramowanie.
To jednak nie pierwszy przypadek, kiedy organizacja APT29 atakuje partie polityczne – wcześniej zdarzało im się uderzać w Partię Demokratyczną w Stanach Zjednoczonych czy norweską Partię Pracy. Jednak tutaj dodatkowo sami podszywają się pod jedną z nich.
WINELOADER – poważne zagrożenie
Złośliwe oprogramowanie WINELOADER zostało po raz pierwszy zidentyfikowane przez Zscaler ThreatLabz w lutym 2024 r., gdzie użyte zostało do kampanii cyberszpiegowskiej. To narzędzie, które umożliwia cyberprzestępcom dostęp do zainfekowanych komputerów i pobranie dodatkowych modułów.
Zespół Google Cloud zauważył, że WINELOADER był również używany do atakowania placówek dyplomatycznych w Czechach, Niemczech, Indiach, Peru, na Łotwie i we Włoszech.
Oprogramowanie to jest podobne do używanych wcześniej przez APT29 – BURNTBATTER, MUSKYBEAT i BEATDROP.
Niemcy oskarżają oficera
Cyberataki Rosjan wywołują obawy związane z bezpieczeństwem informacyjnym, szczególnie w kontekście rzekomego szpiegostwa na rzecz Rosji. Niemieccy prokuratorzy oskarżyli niedawno oficera wojskowego Thomasa H. o działania szpiegowskie na rzecz rosyjskich służb wywiadowczych.
Ten od maja 2023 r. miał kilkukrotnie kontaktować się z Konsulatem Generalnym Rosji w Bonn i ambasadą rosyjską w Berlinie, oferując współpracę.
APT29 – groźna grupa rosyjskich hakerów
Uznaje się, że tzw. Cozy Bear działa od ok. 2010 r. To grupa rosyjskich cyberprzestępców, która ściśle współpracuje z FSB lub SWR FR. Korzystają oni zarówno z ataków socjotechnicznych, jak i złośliwych oprogramowań czy backdoorów.
Przykładowo w 2014 r. stali za próbą ataku na Partię Demokratyczną, Departament Stanu USA i Biały Dom. Z kolei w 2015 r. przeprowadzili kampanię spear phishingową na Pentagon. Grupa miała być również zamieszana w cyberataki na Komitet Narodowy Demokratów, norweski rząd czy holenderskie ministerstwa.
To obecnie jedna z najgroźniejszych grup cyberprzestępczych w Rosji, powiązana z tamtejszymi służbami.
Teraz jednak ataki rosyjskich hakerów za pomocą złośliwego oprogramowania „WINELOADER” na niemieckie partie polityczne rzucają nowe światło na zagrożenia związane z cyberbezpieczeństwem w naszym regionie.
