Diukowie prowadzili swoje działania na terenie Europy przynajmniej od 2008 r. Poza Polską, ataki skierowane były m.in. na instytucje publiczne w Czechach, na Ukrainie, w Gruzji, Kazachstanie, Kirgistanie, Azerbejdżanie i Uzbekistanie, a także indywidualne osoby przebywające na Węgrzech, w Belgii, Luksemburgu oraz Hiszpanii.

Reklama

Działania hakerów były nastawione na gromadzenie danych dotyczących polityki zagranicznej oraz obronnej wybranych państw. Do ich celów należały takie organizacje, jak ministerstwa spraw zagranicznych, ministerstwa obrony, ambasady, parlamenty, kontrahenci wojskowi oraz think tanki.

Według autorów raportu ataki były realizowane metodą „rozbij i łap”, która polega na szybkim włamaniu, po którym następuje gromadzenie i wydobywanie jak największej ilości danych. Jeśli okazało się, że zaatakowany cel był wartościowy, Diukowie szybko zmieniali pakiet narzędzi i przechodzili na bardziej dyskretną taktykę, skupiając się na trwałym dostępie i długofalowym gromadzeniu informacji.

Za raportu wynika, że w ramach operacji wykorzystywano m.in. specjalnie spreparowane, złośliwe dokumenty Worda i PDF, które wysyłano jako załączniki e-mail. Po ich otwarciu oprogramowanie szpiegujące automatycznie rozpoczynało proces instalacji.

Zdaniem ekspertów F-Secure Diukowie to najprawdopodobniej rosyjska grupa cyberszpiegowska, sponsorowana przez państwo.