Egy orosz állami hackercsoporthoz köthető kiberkémkedési kampány európai kormányzati ügynökségeket és diplomatákat vesz célba, hogy ellopják az ukrajnai háborúval kapcsolatos nyugati kormányzati információkat - állítja a lengyel CERT kiberbiztonsági szolgálat és a Katonai Elhárító Szolgálat.
A két kormányzati ügynökség riasztása arra figyelmeztet, hogy a Nobelium orosz tartós fenyegetést jelentő (APT) csoporthoz köthető kampány a NATO-hoz és az Európai Unióhoz, valamint kisebb mértékben az afrikai nemzetekhez kapcsolódó kormányzati ügynökségeket és diplomatákat veszi célba.
A lengyel ügynökségek szerint a hackerek olyan spear-phishing e-mailekkel támadják az áldozatokat, amelyek látszólag európai nagykövetségektől származnak, és valamelyik nagykövetségen tartandó találkozóra vagy eseményre invitálják őket.
Az e-mailek rosszindulatú dokumentumokat tartalmaznak, amelyeket naptármeghívónak vagy találkozó napirendjének álcáznak. Amikor az áldozatok megnyitják ezeket a fájlokat, átirányítják őket egy veszélyeztetett weboldalra, ahol egy EnvyScout nevű, Nobelium márkájú rosszindulatú program telepítője található, amely rosszindulatú .img vagy .iso fájlokat juttat el az áldozat rendszerébe.
A Nobelium korábban .zip vagy .iso fájlokban elrejtett rosszindulatú szoftvereket használt, de a legújabb kampányban a hackerek további .img fájlokat töltenek be, amelyekből hiányzik a Mark of the Web funkció. Ez olyan biztonsági intézkedés megakadályozná, hogy a felhasználók rosszindulatú fájlokat töltsenek le. A rosszindulatú szoftver a Windows Explorer segítségével nyílik meg anélkül, hogy figyelmeztetné a rendszer felhasználóit. Ezt követően a szoftver több, korábban a Nobeliumhoz kapcsolódó eszközt tölt be, köztük a SnowyAmber parancs- és vezérlőeszközt és a QuarterRig rosszindulatú program letöltő eszközt, amelyek ezután kiszivárogtatják az áldozat IP-címét és más rendszerinformációkat.
A lengyel CERT szerint a hackerek ezeket az információkat arra használják, hogy azonosítsák a potenciális célpontokat, és megállapítsák, hogy azok engedélyeztek-e bármilyen vírusirtót vagy rosszindulatú szoftvereket észlelő eszközt. Az ügynökség úgy véli, hogy az európai kormányzati szervek és alkalmazottak mellett az európai nem kormányzati szervezetek is ki vannak téve a Nobelium hackelésének. A hackertámadások elleni védelem érdekében az ügynökség azt javasolja, hogy blokkolják a lemezfájlok csatlakoztatási lehetőségeit, és engedélyezzék a szoftverkorlátozásokat a fájlok kéretlen végrehajtásának megakadályozására.
A BlackBerry Research and Intelligence friss jelentése szerint a kampány március eleje óta aktív, és olyan áldozatokat céloz meg, akik hagyományos hálózati infrastruktúrát használnak. A BlackBerry úgy véli, hogy a kampányt valószínűleg orosz hackerek indították Marek Magierowski lengyel nagykövet februári amerikai látogatása idején. "Úgy véljük, hogy a Nobelium kampányának célpontjai nyugati országok, különösen azok a nyugat-európai országok, amelyek segítséget nyújtanak Ukrajnának" - írták a BlackBerry kutatói.
A Nobelium, amely APT29 és CozyBear néven is ismert, egyike annak a maroknyi orosz csoportnak, amely aktívan részt vesz az Ukrajna és szövetségesei elleni kiberműveletekben. A kutatók úgy vélik, hogy a csoport hajtotta végre a 2020 decemberében felfedezett SolarWinds ellátási lánc elleni támadást is - írja a Govinfosecurity.
