Rosyjscy hakerzy atakowali ukraińską infrastrukturę poprzez stronę kontrolowaną przez białoruskie KGB


Założony przez białoruskie specsłużby portal informacyjny gomelbest.info i połączony z nim adres poczty elektronicznej posłużyły do hakerskiego ataku na ukraińskie przedsiębiorstwa obsługujące transport morski i rzeczny.

O sprawie poinformowała ukraińska grupa CyS Centrum zajmująca się cyberbezpieczeństwem. W raporcie pt. „Celowy atak na przedsiębiorstwa Ukrainy z wykorzystaniem szkodliwego programowania Ursnif” ujawniono, że 14 marca br. miało dojść do fali cyberataków, które doprowadziły do przerwania pracy systemów informatycznych w szeregu przedsiębiorstw zajmujących się transportem wodnym. Jego autorzy wykorzystywali różne skrzynki pocztowe, z których na adres przedsiębiorstw przychodziły listy rzekomo pochodzące od Państwowej Służby Podatkowej Ukrainy. Gdy tylko użytkownik otwierał załącznik, szkodliwe oprogramowanie zaczynało działać.

Tak wyglądał jeden z zainfekowanych maili

 

Kolejnym etapem było ściągniecie na zainfekowany komputer programu Ursnif, pozwalającego na zdalne zarządzanie urządzeniem oraz wykradanie danych.

Analitycy przedstawili również listę stron i adresów e-mailowych związanych z cyberatakami. Większość z nich jest zarejestrowana w Rosji. Jednak figuruje w nim również portal gomelbest.info oraz powiązany z nim adres gomel.best@yandex.ru. Jak się niedawno okazało, portal ten zajmujący się szkalowaniem lokalnych aktywistów i opozycjonistów kontroluje homelskie KGB. Opowiedział o tym Biełsatowi były tajny współpracownik KGB Siarhiej Wasiljeu, który był administratorem strony przez prawie dziewięć lat, do czasu gdy uciekł do Polski. Według jego relacji, za ideą stworzenia strony atakującej opozycjonistów stał szef obwodowego KGB Alaksadr Citou, który odpowiadał za zawartość portalu. Wasiljeu zajmował się wsparciem technicznym.

Więcej:

Sierhej Wasiljeu

Wasiljeu miał stronę zamknąć po swoim wyjeździe, jednak KGB uruchomiło jej kopię i dalej prowadziło swoją działalność. Do ataków na ukraińskie przedsiębiorstwa doszło po tym, gdy mężczyzna zakończył administrowanie stroną. Zapytaliśmy zbiega, czy możliwe było włamanie się na stronę i przynależną mu skrzynkę w celu rozpoczęcia ataku:

Brytyjska firma VPS.NET, u której wykupiliśmy serwer, wzięła na siebie obowiązek śledzenia wszelkich prób włamań na strony swoich klientów. Gdy do takiej próby dochodzi, od razu jest blokowana. Według takich standardów działają wszystkie analogiczne europejskie i amerykańskie firmy. Podczas mojej działalności nigdy nie było żadnego włamania. Strona zawsze była dobrze chroniona. Nie mam pojęcia do czego KGB to było potrzebne – podkreśla Wasilieu.

Zwróciliśmy się również do przedstawiciela CyS Cetrum, który zgodził się na wypowiedź pod warunkiem zachowania anonimowości:

Nie postawiliśmy sobie zadania wykrycia, kto stoi za atakami. Publiczne oskarżenia nie są w naszym stylu. Specjaliści naszego zespołu koncentrują się na zwiększeniu wiedzy obywateli i instytucji nt. zagrożeń cybernetycznych i opracowaniu metody przeciwdziałania. Nawet jeżeli konkretne szkodliwe maile pochodziły z tej, czy innej skrzynki pocztowej, to ona wchodzi w skład infrastruktury danej strony. Mówiąc prościej – oni mogliby się lepiej konspirować.

W ostatnim czasie Ukraina wielokrotnie stała się obiektem hackerskich ataków z Rosji. W maju Reuters poinformował o zaatakowaniu sieci energetycznych w krajach bałtyckich i na Ukrainie. 16 maja została zaatakowana strona administracji prezydenta Poroszenki. Jej szef Dmytro Szymkin poinformował, że źródłem ataków były strony rosyjskiego portalu społecznościowego Vkontaktie oraz wyszukiwarki Yandex. Biełsat skierował oficjalne zapytanie do Służby Bezpieczeństwa Ukrainy dotyczące  portalu  gomelbest.info i jego roli w atakach na ukraińską infrastrukturę.

Kaciaryna Andrejewa belsat.eu

Aktualności