Wiele elementów zaobserwowanej kampanii, takich jak infrastruktura, wykorzystane techniki oraz narzędzia, częściowo lub całkowicie pokrywa się z opisywanymi w przeszłości aktywnościami grupy określanej przez Microsoft mianem „NOBELIUM”, zaś przez Mandiant jako „APT29”. Grupa ta wiązana jest m.in. z kampanią zwaną „SOLARWINDS”, narzędziami „SUNBURST”, „ENVYSCOUT” i „BOOMBOX”, a także licznymi innymi kampaniami o charakterze wywiadowczym.

Reklama

Działania wykryte oraz opisane przez CERT Polska i SKW wyróżniają się jednak na tle poprzednich wykorzystaniem unikalnego, nieodnotowanego wcześniej publicznie oprogramowania. Nowe narzędzia były używane równolegle i niezależnie od siebie lub też kolejno, zastępując starsze rozwiązania, których skuteczność spadała. Pozwalało to sprawcom na utrzymanie ciągłości działań.

Zacieśnianie współpracy między krajowymi podmiotami obserwującymi aktywność grup sponsorowanych przez obce państwa jest kluczowe dla bezpieczeństwa Polski. Dzięki bliskiej współpracy analityków CERT Polska i Służby Kontrwywiadu Wojskowego połączono elementy widziane z różnych perspektyw. Dało to efekt w postaci raportu zawierającego analizę nigdy wcześniej nie opisywanych narzędzi i z pewnością przyczyni się do zwiększenia ich wykrywalności – podkreślił Janusz Cieszyński, Minister Cyfryzacji.

We wszystkich zaobserwowanych przypadkach sprawcy korzystali z techniki spear phishingu. Do wyselekcjonowanych pracowników placówek dyplomatycznych wysyłane były wiadomości e-mail podszywające się pod ambasady krajów europejskich. Korespondencja zawierała zaproszenie na spotkanie lub do wspólnej pracy nad dokumentami. W treści wiadomości lub w załączonym dokumencie PDF zawarty był link kierujący rzekomo do kalendarza ambasadora, szczegółów spotkania lub pliku do pobrania.

Sprawcy wykorzystywali różne techniki, aby nakłonić potencjalne ofiary do uruchomienia pobranego złośliwego oprogramowania. Jedną z nich był plik skrótu udający dokument, w rzeczywistości uruchamiający ukrytą bibliotekę DLL. Zaobserwowano również technikę „DLL Sideloading”, polegającą na użyciu podpisanego pliku wykonywalnego do załadowania i wykonania złośliwego kodu zawartego w dołączonej bibliotece DLL. Na późniejszym etapie kampanii nazwa pliku wykonywalnego zawierała dodatkowo wiele spacji, aby utrudnić zauważenie rozszerzenia exe.