{"id":7818,"date":"2023-04-13T18:49:58","date_gmt":"2023-04-13T18:49:58","guid":{"rendered":"http:\/\/newgeekweb.fightcar.webd.pl\/index.php\/2023\/04\/13\/kampania-szpiegowska-rosyjskich-sluzb-specjalnych\/"},"modified":"2023-04-13T18:49:58","modified_gmt":"2023-04-13T18:49:58","slug":"kampania-szpiegowska-rosyjskich-sluzb-specjalnych","status":"publish","type":"post","link":"https:\/\/geekweb.pl\/index.php\/2023\/04\/13\/kampania-szpiegowska-rosyjskich-sluzb-specjalnych\/","title":{"rendered":"Kampania szpiegowska wi\u0105zana z rosyjskimi s\u0142u\u017cbami specjalnymi"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" class=\" size-full wp-image-7817\" src=\"http:\/\/newgeekweb.fightcar.webd.pl\/wp-content\/uploads\/2023\/04\/fb1b898795e1f1c82709b54a45a74e9d.jpg\" alt=\"\" width=\"1420\" height=\"710\" srcset=\"https:\/\/geekweb.pl\/wp-content\/uploads\/2023\/04\/fb1b898795e1f1c82709b54a45a74e9d.jpg 1420w, https:\/\/geekweb.pl\/wp-content\/uploads\/2023\/04\/fb1b898795e1f1c82709b54a45a74e9d-600x300.jpg 600w, https:\/\/geekweb.pl\/wp-content\/uploads\/2023\/04\/fb1b898795e1f1c82709b54a45a74e9d-300x150.jpg 300w, https:\/\/geekweb.pl\/wp-content\/uploads\/2023\/04\/fb1b898795e1f1c82709b54a45a74e9d-1024x512.jpg 1024w, https:\/\/geekweb.pl\/wp-content\/uploads\/2023\/04\/fb1b898795e1f1c82709b54a45a74e9d-768x384.jpg 768w\" sizes=\"auto, (max-width: 1420px) 100vw, 1420px\" \/><\/p>\n<p>SKW oraz CSIRT NASK zaobserwowa\u0142y szeroko zakrojon\u0105 kampani\u0119 szpiegowsk\u0105 wi\u0105zan\u0105 z rosyjskimi s\u0142u\u017cbami specjalnymi.<\/p>\n<p><!--more--><\/p>\n<p>S\u0142u\u017cba Kontrwywiadu Wojskowego oraz zesp\u00f3\u0142 <strong>CERT Polska<\/strong> (CSIRT NASK), zaobserwowa\u0142y szeroko zakrojon\u0105 kampani\u0119 szpiegowsk\u0105\u00a0wi\u0105zan\u0105 z rosyjskimi s\u0142u\u017cbami specjalnymi, ukierunkowan\u0105 na pozyskiwanie informacji z ministerstw spraw zagranicznych oraz plac\u00f3wek dyplomatycznych. Wi\u0119kszo\u015b\u0107 zidentyfikowanych cel\u00f3w kampanii znajduje si\u0119 w pa\u0144stwach nale\u017c\u0105cych do <strong>NATO, Unii Europejskiej<\/strong> oraz, w mniejszym stopniu, w Afryce.<\/p>\n<p>Wiele element\u00f3w zaobserwowanej kampanii \u2013 infrastruktura, wykorzystane techniki oraz narz\u0119dzia, cz\u0119\u015bciowo lub ca\u0142kowicie, pokrywa si\u0119 z opisywanymi w przesz\u0142o\u015bci zbiorami aktywno\u015bci okre\u015blanymi przez <strong>Microsoft<\/strong> jako <strong>NOBELIUM<\/strong> oraz przez Mandiant jako <strong>APT29<\/strong>. Stoj\u0105cy za nimi aktor wi\u0105zany jest m.in. z kampani\u0105 zwan\u0105 SOLARWINDS oraz narz\u0119dziami SUNBURST, ENVYSCOUT oraz BOOMBOX, a tak\u017ce licznymi innymi kampaniami o charakterze wywiadowczym.<\/p>\n<p>Opisywane dzia\u0142ania wyr\u00f3\u017cniaj\u0105 si\u0119 na tle poprzednich wykorzystaniem unikalnego dla tej kampanii, nieopisanego wcze\u015bniej publicznie oprogramowania. Nowe narz\u0119dzia6\u00a0by\u0142y u\u017cywane r\u00f3wnolegle i niezale\u017cnie od siebie lub zast\u0119puj\u0105c te, kt\u00f3rych skuteczno\u015b\u0107 spad\u0142a pozwalaj\u0105c aktorowi na utrzymanie ci\u0105g\u0142o\u015bci dzia\u0142a\u0144.<\/p>\n<p>W momencie publikacji raportu kampania wci\u0105\u017c trwa i ma charakter rozwojowy. SKW oraz CERT.PL rekomenduj\u0105 wszystkim podmiotom mog\u0105cym znajdowa\u0107 si\u0119 w obszarze zainteresowania aktora wdro\u017cenie mechanizm\u00f3w maj\u0105cych na celu podniesienie bezpiecze\u0144stwa wykorzystywanych system\u00f3w informatycznych i zwi\u0119kszenie wykrywalno\u015bci atak\u00f3w. Przyk\u0142adowe zmiany konfiguracyjne oraz mechanizmy detekcji zosta\u0142y zaproponowane w rekomendacjach.<\/p>\n<p>Celem publikacji raportu jest zak\u0142\u00f3cenie trwaj\u0105cej kampanii szpiegowskiej oraz umo\u017cliwienie wykrycia, analizy oraz \u015bledzenia opisywanych dzia\u0142a\u0144 poszkodowanym podmiotom i szerszej bran\u017cy cyberbezpiecze\u0144stwa.<\/p>\n<h1>Przebieg obserwowanych kampanii<\/h1>\n<p>We wszystkich zaobserwowanych przypadkach aktor korzysta\u0142 z techniki spear phishingu. Do wybranych pracownik\u00f3w plac\u00f3wek dyplomatycznych wysy\u0142ane by\u0142y wiadomo\u015bci e-mail podszywaj\u0105ce si\u0119 pod ambasady kraj\u00f3w europejskich. Korespondencja zawiera\u0142a zaproszenie na spotkanie lub do wsp\u00f3lnej pracy nad dokumentami. W tre\u015bci wiadomo\u015bci lub w za\u0142\u0105czonym dokumencie PDF zawarty by\u0142 odno\u015bnik rzekomo kieruj\u0105cy do kalendarza ambasadora, szczeg\u00f3\u0142\u00f3w spotkania lub pliku do pobrania.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Przyk\u0142adowa wiadomo\u015b\u0107 email podszywaj\u0105ca si\u0119 pod polsk\u0105 ambasad\u0119 i nak\u0142aniaj\u0105ca do klikni\u0119cia w z\u0142o\u015bliwy link\" src=\"https:\/\/www.gov.pl\/photo\/5341932f-d764-4111-a216-7e86b5791575\" alt=\"Przyk\u0142adowa wiadomo\u015b\u0107 email podszywaj\u0105ca si\u0119 pod polsk\u0105 ambasad\u0119 i nak\u0142aniaj\u0105ca do klikni\u0119cia w z\u0142o\u015bliwy link\" width=\"779\" height=\"355\" \/><\/p>\n<p>Odno\u015bnik kierowa\u0142 do przej\u0119tej strony, na kt\u00f3rej umieszczony by\u0142 charakterystyczny dla tego aktora skrypt, publicznie opisywany jako ENVYSCOUT. Korzysta on z techniki HTML Smuggling \u2013 przy jej u\u017cyciu z\u0142o\u015bliwy plik umieszczony na stronie jest odkodowywany przy u\u017cyciu skryptu JavaScript w momencie otwarcia strony, a nast\u0119pnie pobierany na urz\u0105dzenie ofiary. Dzi\u0119ki temu z\u0142o\u015bliwy plik jest trudniejszy do wykrycia po stronie serwera, na kt\u00f3rym jest przechowywany. Skrypt wy\u015bwietla\u0142 r\u00f3wnie\u017c stron\u0119 internetow\u0105, kt\u00f3rej tre\u015b\u0107 mia\u0142a na celu utwierdzenie ofiary w przekonaniu, \u017ce pobra\u0142a prawid\u0142owy za\u0142\u0105cznik.<\/p>\n<p>W trakcie opisywanej kampanii, zaobserwowano trzy r\u00f3\u017cne wersje narz\u0119dzia ENVYSCOUT, stopniowo dodaj\u0105ce nowe mechanizmy utrudniaj\u0105ce analiz\u0119.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Strona podszywaj\u0105ca si\u0119 pod polsk\u0105 ambasad\u0119 sugeruj\u0105ca udost\u0119pniony kalendarz do pobrania\" src=\"https:\/\/www.gov.pl\/photo\/8410ab28-abd6-4f71-8b2d-8fb8d0336c39\" alt=\"Zrzut ekranu strony podszywaj\u0105cej si\u0119 pod polsk\u0105 ambasad\u0119 sugeruj\u0105ca udost\u0119pniony kalendarz do pobrania\" width=\"739\" height=\"464\" \/><\/p>\n<p>Obserwowane w przesz\u0142o\u015bci kampanie wi\u0105zane z NOBELIUM oraz APT29 wykorzystywa\u0142y do dostarczenia z\u0142o\u015bliwego oprogramowania pliki z rozszerzeniem .ZIP lub .ISO. W trakcie opisywanej kampanii, opr\u00f3cz podanych wcze\u015bniej rozszerze\u0144, u\u017cywane by\u0142y r\u00f3wnie\u017c pliki .IMG. Obrazy dysk\u00f3w ISO oraz IMG, na komputerach z systemem Windows, po otwarciu s\u0105 automatycznie montowane w systemie plik\u00f3w, co powoduje wy\u015bwietlenie ich zawarto\u015bci w eksploratorze Windows. Dodatkowo nie przenosz\u0105 one tzw. mark-of-the-web, czyli u\u017cytkownikowi nie zostanie wy\u015bwietlone ostrze\u017cenie, \u017ce pliki zosta\u0142y pobrane z Internetu.<\/p>\n<p>Aktor wykorzystywa\u0142 r\u00f3\u017cne techniki, aby nak\u0142oni\u0107 u\u017cytkownika do uruchomienia z\u0142o\u015bliwego oprogramowania. Jedn\u0105 z nich by\u0142 plik skr\u00f3tu udaj\u0105cy dokument, a w rzeczywisto\u015bci uruchamiaj\u0105cy ukryt\u0105 bibliotek\u0119 DLL z narz\u0119dziami aktora. Zaobserwowano r\u00f3wnie\u017c technik\u0119 DLL Sideloading, polegaj\u0105c\u0105 na u\u017cyciu podpisanego pliku wykonywalnego do za\u0142adowania i wykonania kodu zawartego w ukrytej bibliotece DLL poprzez umieszczenie jej w tym samym katalogu, pod nazw\u0105 dobran\u0105 w zale\u017cno\u015bci od wpis\u00f3w w tablicy import\u00f3w. Na p\u00f3\u017aniejszym etapie kampanii nazwa pliku wykonywalnego zawiera\u0142a wiele spacji, aby utrudni\u0107 zauwa\u017cenie rozszerzenia exe.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Widok po uruchomieniu przez ofiar\u0119 pliku obrazu przy domy\u015blnych ustawieniach eksploratora Windows.\" src=\"https:\/\/www.gov.pl\/photo\/d308138f-f82a-45e7-9562-c04da40fb5ea\" alt=\"Zrzut ekranu na widok po uruchomieniu przez ofiar\u0119 pliku obrazu przy domy\u015blnych ustawieniach eksploratora Windows.\" width=\"768\" height=\"255\" \/><\/p>\n<h1>Narz\u0119dzia wykorzystywane podczas kampanii<\/h1>\n<p>Aktor wykorzystywa\u0142 r\u00f3\u017cne narz\u0119dzia na poszczeg\u00f3lnych etapach opisywanej kampanii. Wszystkie wymienione poni\u017cej s\u0105 unikalne dla opisywanego zbioru aktywno\u015bci. Szczeg\u00f3\u0142owa analiza techniczna ka\u017cdego z nich zosta\u0142a zamieszczona w osobnych dokumentach:<\/p>\n<p>SNOWYAMBER\u00a0\u2013 narz\u0119dzie wykorzystane po raz pierwszy w pa\u017adzierniku 2022 r. i nadu\u017cywaj\u0105ce serwis Notion7\u00a0do komunikacji oraz pobierania kolejnych z\u0142o\u015bliwych plik\u00f3w. Zaobserwowano dwie wersje tego narz\u0119dzia.<br \/>HALFRIG\u00a0\u2013 narz\u0119dzie wykorzystane po raz pierwszy w lutym 2023 r., wyr\u00f3\u017cnia si\u0119 ono od pozosta\u0142ych osadzonym na sta\u0142e kodem uruchamiaj\u0105cym narz\u0119dzie COBALT STRIKE.<br \/>QUARTERRIG\u00a0\u2013 narz\u0119dzie wykorzystane po raz pierwszy w marcu 2023, wsp\u00f3\u0142dziel\u0105ce cz\u0119\u015b\u0107 kodu z HALFRIG. Zaobserwowano dwie wersje tego narz\u0119dzia.<br \/>Pierwsza wersja narz\u0119dzia SNOWYAMBER zosta\u0142a publicznie opisana m.in. przez Recorded Future8.\u00a0Zmodyfikowana wersja narz\u0119dzia SNOWYAMBER, narz\u0119dzie HALFRIG oraz QUATERRIG nie by\u0142y wcze\u015bniej opisane publicznie.<\/p>\n<p>Narz\u0119dzia SNOWYAMBER oraz QUARTERRIG by\u0142y u\u017cywane jako tzw. downloader\u2019y. Oba narz\u0119dzia przesy\u0142a\u0142y do aktora adres IP oraz nazw\u0119 komputera i u\u017cytkownika, kt\u00f3re s\u0142u\u017cy\u0142y do oceny czy ofiara jest interesuj\u0105ca oraz prawdopodobnie, czy nie jest to \u015brodowisko do analizy z\u0142o\u015bliwego oprogramowania. Je\u017celi zainfekowana stacja robocza przesz\u0142a pomy\u015blnie r\u0119czn\u0105 weryfikacj\u0119, wykorzystywano wspomniane downloadery celem dostarczenia i uruchomienia komercyjnych narz\u0119dzi COBALT STRIKE lub BRUTE RATEL. Z kolei HALFRIG dzia\u0142a na zasadzie tzw. loadera \u2013 zawiera w sobie i uruchamia automatycznie narz\u0119dzie COBALT STRIKE.<\/p>\n<p>Pomimo obserwowanych zmian w narz\u0119dziach, wiele z element\u00f3w kampanii jest powtarzalne. S\u0105 to m.in.:<\/p>\n<ul>\n<li>Spos\u00f3b budowania infrastruktury. Aktor stoj\u0105cy za kampani\u0105 szpiegowsk\u0105 preferuje wykorzystywanie podatnych stron internetowych nale\u017c\u0105cych do przypadkowych podmiot\u00f3w.<\/li>\n<li>Motyw przewodni wiadomo\u015bci email. Wszystkie pozyskane wiadomo\u015bci email u\u017cyte w kampaniach wykorzystywa\u0142y motyw korespondencji pomi\u0119dzy podmiotami dyplomatycznymi.<\/li>\n<li>Wykorzystanie narz\u0119dzia nazywanego publicznie ENVYSCOUT. Skrypt ten by\u0142 wykorzystywany przez aktora od co najmniej 2021 roku. W trakcie trwania zaobserwowanej kampanii zaobserwowano zmiany w kodzie narz\u0119dzia, ale nie wp\u0142yn\u0119\u0142y one znacz\u0105co na jego funkcjonalno\u015bci.<\/li>\n<li>Link do narz\u0119dzia ENVYSCOUT by\u0142 dostarczany ofierze w postaci odno\u015bnika umieszczonego w tre\u015bci wiadomo\u015bci e-mail lub w tre\u015bci za\u0142\u0105czonego pliku PDF.<\/li>\n<li>U\u017cycie obraz\u00f3w dysk\u00f3w ISO oraz IMG.<\/li>\n<li>U\u017cycie techniki zwanej DLL Sideloading wykorzystuj\u0105cej niez\u0142o\u015bliwy, podpisany cyfrowo plik wykonywalny do uruchomienia w\u0142asnych narz\u0119dzi.<\/li>\n<li>U\u017cycie komercyjnych narz\u0119dzi COBALT STRIKE oraz BRUTE RATEL.<\/li>\n<\/ul>\n<h1>Rekomendacje<\/h1>\n<p>SKW oraz CERT.PL\u00a0mocno\u00a0rekomenduj\u0105 wszystkim podmiotom mog\u0105cym znajdowa\u0107 si\u0119 w obszarze zainteresowania aktora wdro\u017cenie zmian konfiguracyjnych maj\u0105cych na celu przerwanie mechanizmu dostarczenia, kt\u00f3ry by\u0142 u\u017cywany w opisywanej kampanii. Sektory, kt\u00f3re\u00a0szczeg\u00f3lnie\u00a0powinny rozwa\u017cy\u0107 wdro\u017cenie zalece\u0144 to:<\/p>\n<ol>\n<li>Podmioty rz\u0105dowe;<\/li>\n<li>Podmioty dyplomatyczne, ministerstwa spraw zagranicznych, ambasady, personel dyplomatyczny i pracuj\u0105cy w podmiotach mi\u0119dzynarodowych;<\/li>\n<li>Organizacje mi\u0119dzynarodowe;<\/li>\n<li>Organizacje pozarz\u0105dowe.<\/li>\n<\/ol>\n<p>Poni\u017csze zmiany konfiguracyjne mog\u0105 pos\u0142u\u017cy\u0107 do przerwania mechanizmu dostarczenia z\u0142o\u015bliwego oprogramowania u\u017cytego w opisywanej kampanii:<\/p>\n<ol>\n<li>Zablokowanie mo\u017cliwo\u015bci montowanie w systemie plik\u00f3w obraz\u00f3w dysk\u00f3w. Wi\u0119kszo\u015b\u0107 u\u017cytkownik\u00f3w wykonuj\u0105cych prace biurowe nie posiada potrzeby pobierania i u\u017cywania plik\u00f3w ISO lub IMG.<\/li>\n<li>Monitorowanie montowania plik\u00f3w obraz\u00f3w dysk\u00f3w przez u\u017cytkownik\u00f3w pe\u0142ni\u0105cych role administrator\u00f3w.<\/li>\n<li>W\u0142\u0105czenie i konfiguracja regu\u0142\u00a0Attack Surface Reduction Rules10.<\/li>\n<li>Konfiguracja regu\u0142\u00a0Software Restrition Policy\u00a0i zablokowanie mo\u017cliwo\u015bci uruchamiania plik\u00f3w wykonywalnych z nietypowych lokalizacji (w szczeg\u00f3lno\u015bci: katalogi tymczasowe, %localappdata% i katalogi podrz\u0119dne, no\u015bniki zewn\u0119trzne).<\/li>\n<li>Za\u0142\u0105czamy r\u00f3wnie\u017c zbi\u00f3r wszystkich wska\u017anik\u00f3w (IoC) powi\u0105zanych z opisywan\u0105 kampani\u0105, zalecamy weryfikacj\u0119 zbieranych log\u00f3w systemowych i sieciowych pod k\u0105tem ich wyst\u0105pienia.<\/li>\n<\/ol>\n<p style=\"text-align: center;\">{loadmoduleid 1123}<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SKW oraz CSIRT NASK zaobserwowa\u0142y szeroko zakrojon\u0105 kampani\u0119 szpiegowsk\u0105 wi\u0105zan\u0105 z rosyjskimi s\u0142u\u017cbami specjalnymi.<\/p>\n","protected":false},"author":1,"featured_media":7817,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[4893,54,4891,4892,635,855],"class_list":["post-7818","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-internet","tag-apt29","tag-cyberbezpieczenstwo","tag-kampania","tag-przeciwko-polsce","tag-rosja","tag-szpiegostwo"],"_links":{"self":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts\/7818","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/comments?post=7818"}],"version-history":[{"count":0,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts\/7818\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/media\/7817"}],"wp:attachment":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/media?parent=7818"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/categories?post=7818"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/tags?post=7818"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}