W oficjalnym komunikacie wydanym przez amerykańską Agencję Cyberbezpieczeństwa i Infrastruktury (CISA) stwierdzono, że hakerzy zdołali naruszyć bezpieczeństwo struktur teleinformatycznych jednej z rządowych agencji oraz wykradli z jej sieci dane.
Magazyn "Wired" ocenia, że na podstawie pozostawionych przez hakerów śladów można powiązać ten cyberatak z działalnością pracującej na zlecenie rosyjskiego wywiadu wojskowego GRU grupy APT28, znanej także jako Fancy Bear. Świadczą o tym m.in. metody ataku opisywane wcześniej w tym roku przez śledczych z FBI i ekspertów z zajmującej się cyberbezpieczeństwem firmy Dragos. Według danych dostępnych o ostatnim cyberataku na jedną z amerykańskich agencji federalnych, są one bardzo zbliżone do działań, które FBI i Dragos wiązali właśnie z aktywnością Fancy Bear.
Wcześniejsze ataki APT28
Grupa APT28 była odpowiedzialna m.in. za zhakowanie komitetu narodowego Partii Demokratycznej przed wyborami prezydenckimi w USA z 2016 r. W ciągu tego roku jej działania koncentrowały się na ukierunkowanych cyberatakach na polityków oraz ich partie, a także firmy doradcze i członków sztabów kampanii politycznych. FBI oraz Dragos ostrzegali agencje rządowe i instytucje z sektora edukacji przed kolejnymi aktywnościami cyberprzestępców z tego ugrupowania.
Jeden z badaczy związanych z Dragosem, Joe Slowik, podkreślił, że adres IP wykorzystany przez hakerów podczas ataku na rządową agencję - przypisany serwerowi zlokalizowanemu na terytorium Węgier - figuruje na wcześniej utworzonej liście adresów IP, którymi najczęściej posługują się cyberprzestępcy z APT28.
Informując o cyberataku na rządową agencję, CISA opisała szczegóły wykorzystanych przez hakerów technik. Cyberprzestępcy wtargnęli do chronionej sieci, uzyskawszy dostęp do danych logowania pracowników zaatakowanej instytucji. CISA przyznała, że nie jest jasne, w jaki sposób hakerzy pozyskali te informacje, ale spekuluje się, iż wykorzystali w tym celu lukę bezpieczeństwa w oprogramowaniu do obsługi wirtualnych sieci prywatnych Pulse Secure VPN.
APT28 w przeszłości atakowała już cele rządowe - m.in. podczas operacji cyberszpiegowskich ukierunkowanych na instytucje NATO, a także rządy państw Europy Wschodniej. Według CISA Fancy Bear kontynuuje niektóre z tych działań.
PAP/dad