Uważaj na Dysk Google i Dropbox! Rosyjscy hakerzy ukrywają w nich złośliwe oprogramowanie

Pamiętacie jeszcze aferę z hakerami wykorzystującymi SolarWinds Orion, których śmiałe przedsięwzięcie nazwano największym atakiem cyberprzestępczym ostatnich lat? Cóż, wszystko wskazuje na to, że powiązana z Rosją grupa powróciła. Tym razem jednak za cel obrali Dysk Google, za pomocą którego przemycają złośliwe oprogramowanie.

Wyciek danych z kilkunastu tysięcy firm i instytucji

SolarWinds Orion to oprogramowanie służące do zarządzania sieciami firmowymi. Dwa lata temu powiązani z Rosją hakerzy wykorzystali aplikację do infiltrowania wewnętrznych systemów wielu firm i instytucji. W ataku ucierpieli między innymi tacy giganci jak Microsoft, a także organizacje powiązane z rządem Stanów Zjednoczonych, w tym Pentagon, FBI czy Departament Bezpieczeństwa. Poważnych wycieków danych  doświadczyło przeszło 18 tysięcy podmiotów, a całkowite pozbycie się szkodliwego oprogramowania było bardzo trudne.

Google Drive i Dropbox użyte do przenoszenia złośliwych wirusów

Według badaczy z Unit 42 – jednostki zajmującej się wykrywania sieciowych zagrożeń w firmie Palo Alto Networks – grupa hakerska znana jako APT29 i Cozy Bear, powiązana z atakami SolarWinds, zaczęła używać chmury Google do roznoszenia wirusa.

„To nowa taktyka, która okazuje się trudna do wykrycia ze względu na wszechobecny charakter tych usług i fakt, że cieszą się zaufaniem milionów klientów na całym świecie. Gdy korzystanie z zaufanych usług jest połączone z szyfrowaniem, jak widzimy tutaj, organizacjom niezwykle trudno jest wykryć złośliwą aktywność w związku z kampanią” – badacze z Unit 42

Taktyka zaszywania złośliwego oprogramowania na Dysku Google została po raz pierwszy użyta w atakach na systemy ambasady Portugalii i Brazylii, trwających od początku maja do końca czerwca. W obu przypadkach dokumenty phishingowe zawierały odsyłacz do szkodliwego pliku HTML (EnvyScout). Odsyłacz posłużył jako dropper dla dodatkowych szkodliwych plików, takich jak Cobalt Strike, czyli narzędzia służącego do symulowania ataków na sieci komputerowe. W nieodpowiednich rękach przyczynia się do wyprowadzania wielostopniowych i długotrwałych ataków APT.

Czytaj dalej poniżej

Hakerzy wypowiadają cyberwojnę Rosji. Anonymous biorą sprawy w swoje ręce Kacper Cembrowski

Atak na kopalnię kryptowalut. Tym razem nie hakerski, a z bronią w ręku Patryk Koncewicz

Hakerzy wykorzystują także inny popularny dysk, Dropbox. Posłużył on do wyprowadzania ataków na dyplomatów i agencje rządowe. Właściciel usługi poinformował, że konta powiązane z włamaniami zostały natychmiastowo zablokowane.

Kraje członkowskie Unii zagrożone

Powiązani z Rosją hakerzy nie próżnują także w kwestii nękania broniących się Ukraińców. Według grupy TAG – zajmującej się analizą zagrożeń w Google – hakerzy z grupy Turla złapali naszych wschodnich sąsiadów w pułapkę. Wykorzystują aplikacje CyberAzov, która miała pomóc w dokonywaniu ataków DDoS na Rosję, do rozpowszechniania złośliwego oprogramowania na urządzeniach pracujących na systemie Android.

Przed intensywną działalnością rosyjskich cyberprzestępców ostrzega także Rada EU, informując w oficjalnym komunikacie o zagrożeniu czyhającym na państwa członkowskie. Unia wzywa podmioty odpowiedzialne za cyberbezpieczeństwo do podjęcia środków zapobiegawczych w celu ochrony krytycznej infrastruktury i podnoszenia świadomości o zagrożeniach ze strony powiązanych z Rosją hakerów.

Stock image from Depositphotos