Getty bilder
Pro-ryska hot fortsätter sin obevekliga jakt på ukrainska mål med en rad kampanjer som inkluderar falska Android-appar, hackattacker som utnyttjar kritiska sårbarheter och e-postnätfiskeattacker som försöker samla in inloggningsuppgifter, sa Googles forskare.
En av de nyare kampanjerna kom från Turla, en rysktalande avancerad ihållande hotspelare som har varit aktiv sedan åtminstone 1997 och är bland de mest tekniskt sofistikerade i världen. Enligt Google riktade gruppen sig mot pro-ukrainska volontärer med Android-appar som utgav sig som startramper för att utföra överbelastningsattacker mot ryska webbplatser.
“Allt du behöver göra för att starta processen är att installera appen, öppna den och trycka på start”, hävdar den falska webbplatsen som marknadsför appen. “Appen börjar omedelbart skicka förfrågningar till ryska webbplatser för att överbelasta deras resurser och orsaka överbelastning.”
Faktum är att en forskare från Googles Threat Analysis Group sa att appen skickar en enda GET-förfrågan till målwebbplatsen. Bakom kulisserna sa en annan Google-forskare Vice att appen är designad för att kartlägga en användares internetinfrastruktur och “avgöra var de personer som potentiellt utför den här typen av attacker är”.
Applikationer som finns på en spoofingdomän Ukrainska Azovregementet, efterliknar en annan Android-app som Google först såg i mars som också påstod sig utföra DoS-attacker mot ryska webbplatser. Till skillnad från Turlas appar skickade stopwar.apk, som den senare appen hette, en kontinuerlig ström av förfrågningar tills användaren stoppade dem.
Reklam
“Baserat på vår analys tror vi att StopWar-appen har utvecklats av pro-ukrainska utvecklare och är inspirationen bakom det som Turla-skådespelarna baserade sin falska CyberAzov DoS-app på”, skrev Google-forskaren Billy Leonard.
Andra Kreml-sponsrade hackergrupper har också attackerat ukrainska grupper. Kampanjerna involverade användningen av Follina, namnet som gavs till en kritisk sårbarhet i alla versioner av Windows som stöds och som hade attackerats aktivt i naturen i mer än två månader som en nolldag.
Google-forskare bekräftade en CERT-UA-rapport i juni där det sa att en annan Kreml-sponsrad hackergrupp – spårad under olika namn, inklusive Fancy Bear, känd som Pawn Storm, Sofacy Group och APT28 – också utnyttjade Follina i ett försök att infektera mål med skadlig programvara känd som CredoMap. Dessutom sa Google att Sandworm – en annan rysk regeringssponsrad grupp – också utnyttjade Follina. Den här kampanjen använder komprometterade statliga konton för att skicka länkar till Microsoft Office-dokument som finns på utsatta domäner, främst inriktade på medieorganisationer i Ukraina.
CERT-UA
Samtidigt meddelade säkerhetsföretaget Palo Alto Networks på tisdagen att den ryska hackergruppen Cloaked Ursa (även känd som APT29, Nobelium och Cozy Bear) också har intensifierat sina skadliga attacker sedan starten av den ryska invasionen av Ukraina, delvis genom att göra skadliga nedladdningar tillgängliga på Dropbox och Google Drive. De amerikanska och brittiska underrättelsetjänsterna har offentligt tillskrivit APT29 till Rysslands utländska underrättelsetjänst (SVR).
Reklam
“Detta överensstämmer med målgruppens historiska fokus som går tillbaka till skadliga kampanjer mot Tjetjenien och andra före detta sovjetblockländer 2008”, skrev Palo Alto Networks forskare Mike Harbison och Peter Rennals. På senare tid har APT29 kopplats till 2016 års hack av USA:s demokratiska nationella kommitté och 2020 SolarWindows supply chain attacker.
Inte alla hotgrupper som riktar sig mot Ukraina är sponsrade av Kreml, sa Google. Nyligen efterliknade en ekonomiskt motiverad skådespelare som spårades som UAC-0098 Ukrainas statliga skattetjänst och levererade skadliga dokument som försökte utnyttja Follina. Google sa att skådespelaren är en tidigare inledande mäklare för ransomware-åtkomst som tidigare arbetat med Conti ransomware-gruppen.
På onsdagen delade US Cyber Command tekniska detaljer relaterade till vad byrån säger är flera typer av skadlig programvara som riktats mot ukrainska enheter under de senaste månaderna. Skadliga programexempel finns tillgängliga på VirusTotal, Pastebin och GitHub. Säkerhetsföretaget Mandiant sa att två separata spionprogramsgrupper använde skadlig programvara, en spårad som UNC1151 och tillskrivs av Mandiant till den vitryska regeringen, och den andra spåras som UNC2589, som företaget sa “troddes agera till stöd för ryska regeringsintressen och utför omfattande insamling av spionagedata i Ukraina”.
Europeiska unionen uppmanade också den ryska regeringen denna vecka och noterade att en nyligen distribuerad överbelastningskampanj bara var det senaste exemplet på cyberattacker som den har lanserat sedan dess invasion.
“Rysslands oprovocerade och omotiverade militära aggression mot Ukraina har åtföljts av en betydande ökning av illvilliga cyberaktiviteter, inklusive av ett häpnadsväckande och oroande antal hackare och hackergrupper som urskillningslöst riktar sig mot stora enheter över hela världen”, skrev EU-tjänstemän. “Denna ökning av illvilliga cyberaktiviteter, i samband med kriget mot Ukraina, skapar oacceptabla risker för biverkningar, feltolkningar och möjlig eskalering.”
