Το 2023, η Ουκρανία αποτέλεσε στόχο του 60% των ρωσικών επιθέσεων phishing.
Η Ομάδα Ανάλυσης Απειλών (Threat Analysis Group – TAG) της Google έχει παρακολουθήσει και εμποδίζει κυβερνοεπιθέσεις που υποστηρίζονται από τη ρωσική κυβέρνηση κατά της κρίσιμης υποδομής της Ουκρανίας το 2023.
Η Google αναφέρει ότι από τον Ιανουάριο έως τον Μάρτιο του 2023, η Ουκρανία δέχθηκε περίπου το 60% των επιθέσεων phishing που προέρχονταν από τη Ρωσία, καθιστώντας την την πιο στοχευμένη χώρα.
Στις περισσότερες περιπτώσεις, οι στόχοι της εκστρατείας περιλαμβάνουν τη συλλογή πληροφοριών, την επιχειρησιακή διαταραχή και τη διαρροή ευαίσθητων δεδομένων μέσω των καναλιών στο Telegram που είναι αφιερωμένα στην πρόκληση πληροφοριακής ζημίας στην Ουκρανία.
Δείτε επίσης: Η VMware διορθώνει vRealize bug που επιτρέπει στους εισβολείς να εκτελούν κώδικα ως root
Ομάδες που δραστηριοποιούνται στην Ουκρανία
Κατά τη διάρκεια του πρώτου τριμήνου του έτους, η Ομάδα Ανάλυσης Απειλών (TAG) της Google εντόπισε τρεις ομάδες Ρώσων και Λευκορώσων χάκερ που είχαν πραγματοποιήσει σημαντικές επιθέσεις σε στόχους στην Ουκρανία.
Ο πρώτος απειλητικός παράγοντας λέγεται Sandworm και τον ανιχνεύει η Google ως “FrozenBarents”. Έχει επικεντρωθεί στον ενεργειακό τομέα σε όλη την Ευρώπη από τον Νοέμβριο του 2022, με ένα σημαντικό περιστατικό που αφορά το Caspian Pipeline Consortium (CPC).
Πρόσφατα, η ομάδα Sandworm έχει ξεκινήσει πολλαπλές εκστρατείες phishing χρησιμοποιώντας παραποιημένους ιστότοπους “Ukroboronprom” εναντίον εργαζομένων στην ουκρανική αμυντική βιομηχανία, χρηστών της πλατφόρμας Ukr.net ή ακόμη και ουκρανικών καναλιών Telegram.
Η απειλητική ομάδα δημιουργεί και πολλαπλές διαδικτυακές περσόνες για να διαδίδει ψευδείς πληροφορίες στο YouTube και το Telegram, διαρρέοντας συχνά τμήματα των δεδομένων που έχουν κλαπεί μέσω phishing ή εισβολών σε δίκτυα.
Ένας άλλος εξαιρετικά ενεργός ρωσικός απειλητικός φορέας είναι η ομάδα APT28, που εντοπίζεται από τη Google ως “FrozenLake”.
Μεταξύ Φεβρουαρίου και Μαρτίου του 2023, η APT28 έστειλε πολλαπλά μεγάλα κύματα μηνυμάτων phishing με στόχο τους Ουκρανούς. Οι χάκερ χρησιμοποίησαν και reflected cross-site scripting (XSS) σε ουκρανικούς κυβερνητικούς ιστότοπους προκειμένου να ανακατευθύνουν τους επισκέπτες σε σελίδες phishing.
Αυτή την εβδομάδα, μια κοινή ανακοίνωση από το UK NCSC, το FBI, το NSA και το CISA προειδοποίησε ότι η APT28 χακάρει τα Cisco Routers για να εγκαταστήσει εξατομικευμένο κακόβουλο λογισμικό.
Ο τρίτος απειλητικός φορέας που αναφέρεται στην αναφορά της Google είναι “Pushcha”, που πιστεύεται ότι εδρεύει στη Λευκορωσία, μια χώρα που είναι πολιτικώς ευνοϊκή στο Κρεμλίνο.
Η Pushcha ξεκίνησε πρόσφατα καμπάνιες που στοχεύουν ουκρανούς παρόχους webmail, όπως το “i.ua” και το “meta.ua”, προσπαθώντας να κλέψει τα credentials των χρηστών δημιουργώντας fake ιστότοπους.
Δείτε επίσης: Lazarus hackers: Σύνδεση με επίθεση σε 3CX και στόχευση χρηστών Linux με fake προσφορές εργασίας
Παραπληροφόρηση που χρηματοδοτείται από το κράτος
Η αναφορά της Google επισημαίνει και περιπτώσεις παραπληροφόρησης στις πλατφόρμες της, όπως το YouTube και το Blogger.
«Το πρώτο τρίμηνο του 2023, η TAG παρατήρησε μια συντονισμένη καμπάνια IO από παράγοντες που συνδέονται με την Υπηρεσία Ερευνών Διαδικτύου (IRA) που δημιουργούσαν περιεχόμενο σε προϊόντα Google όπως το YouTube, συμπεριλαμβανομένου του σχολιασμού και της υπερψήφισης των βίντεο», αναφέρεται στην αναφορά της Google TAG.
Η IRA (Glavset) είναι μια ρωσική εταιρεία που συνδέεται με τον ιδιοκτήτη του Ομίλου Wagner, Y. Prigozhin, που συμμετέχει σε διαδικτυακή προπαγάνδα και επιχειρήσεις influence για λογαριασμό των ρωσικών πολιτικών συμφερόντων.
Σύμφωνα με την Google, εντόπισε και εμπόδισε λογαριασμούς που συνδέονται με την IRA να παράγουν περιεχόμενο στο YouTube Shorts για να προωθήσουν ορισμένες “ειδησεογραφικές” ιστορίες σχετικά με τον πόλεμο στην Ουκρανία για τους Ρώσους θεατές.
Όλες οι ιστοσελίδες που σχετίζονται με τις εν λόγω καμπάνιες έχουν προστεθεί στη λίστα αποκλεισμού “Safe Browsing” της Google, ενώ οι επηρεαζόμενοι χρήστες Gmail και Workspace ενημερώθηκαν μέσω ειδοποιήσεων για κακόβουλη επικοινωνία.
Πηγή πληροφοριών: bleepingcomputer.com
