Польская военная контрразведка и киберспециалисты зафиксировали ведение масштабной шпионской киберкампании, направленной на сбор данных от дипломатических ведомств стран Запада.

Как сообщает "Европейская правда", соответствующее заявление разместили на портале польского правительства.

Злонамеренную активность заметили контрразведка и специалисты по кибербезопасности CERT Polska, они связывают кампанию с российским ГРУ. Атака направлена против дипломатических ведомств в странах-членах ЕС и НАТО и, в некоторых случаях, Африке.

Как отмечают, многие элементы этой кампании полностью или частично повторяют активность, которую в Microsoft прозвали NOBELIUM, а в Mandiant (американская фирма по кибербезопасности и дочерняя компания Google) – APT29. Те, кто стоят за ней, скорее всего, связаны и с кампанией SOLARWINDS и инструментами SUNBURST, ENVYSCOUT, BOOMBOX, как и рядом других шпионских кампаний.

Впрочем, есть и отличия – программное обеспечение, которое используют на этот раз, ранее публично не описывалось. Это, в частности, модифицированная версия SNOWYAMBER, HALFRIG, QUATERRIG. Новые инструменты, вероятно, заменили старые, эффективность которых уменьшилась.

Во всех выявленных случаях для кампании использовались типичные фишинговые техники – сотрудникам дипучреждений приходят письма якобы от имени посольств другой европейской страны, где говорится о приглашении на встречу или об определенных документах.

В теле письма или в приложенном PDF содержится ссылка, перенаправляющая либо на календарь посла, либо на файл, который надо загрузить. На самом деле ссылка ведет на скомпрометированный сайт со скриптом ENVYSCOUT, с помощью которого вирусный файл со страницы декодируется через JavaScript и попадает на устройство пользователя.

Киберспециалисты заметили три разные версии ENVYSCOUT, использованные для этой кампании.

Как отмечают, на момент публикации заявления кампания продолжается и учреждениям, которые потенциально могут быть интересны злоумышленникам, стоит дополнительно позаботиться о кибербезопасности.

Ведомство отмечает, что раскрыло эту информацию с целью усложнить злоумышленникам их работу.

Как сообщалось, ЕС планирует выделить более 1 млрд евро на проект защиты от киберугроз.