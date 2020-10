Rosyjscy hakerzy prawdopodobnie wtargnęli do jednej z agencji federalnych USA - informuje magazyn "Wired". Dowody zgromadzone w sprawie cyberataku wskazują, że stoją za nim cyberprzestępcy z grupy Fancy Bear (APT28) powiązanej z rosyjskim wywiadem wojskowym GRU.

W oficjalnym komunikacie wydanym przez amerykańską Agencję Cyberbezpieczeństwa i Infrastruktury (CISA) stwierdzono, że hakerzy zdołali naruszyć bezpieczeństwo struktur teleinformatycznych jednej z rządowych agencji oraz wykradli z jej sieci dane.

Magazyn "Wired" ocenia, że na podstawie pozostawionych przez hakerów śladów można powiązać ten cyberatak z działalnością pracującej na zlecenie rosyjskiego wywiadu wojskowego GRU grupy APT28, znanej także jako Fancy Bear. Świadczą o tym m.in. metody ataku opisywane wcześniej w tym roku przez śledczych z FBI i ekspertów z zajmującej się cyberbezpieczeństwem firmy Dragos. Według danych dostępnych o ostatnim cyberataku na jedną z amerykańskich agencji federalnych, są one bardzo zbliżone do działań, które FBI i Dragos wiązali właśnie z aktywnością Fancy Bear.

Grupa APT28 była odpowiedzialna m.in. za zhakowanie komitetu narodowego Partii Demokratycznej przed wyborami prezydenckimi w USA z 2016 r. W ciągu tego roku jej działania koncentrowały się na ukierunkowanych cyberatakach na polityków oraz ich partie, a także firmy doradcze i członków sztabów kampanii politycznych. FBI oraz Dragos ostrzegali agencje rządowe i instytucje z sektora edukacji przed kolejnymi aktywnościami cyberprzestępców z tego ugrupowania.

Jeden z badaczy związanych z Dragosem, Joe Slowik, podkreślił, że adres IP wykorzystany przez hakerów podczas ataku na rządową agencję - przypisany serwerowi zlokalizowanemu na terytorium Węgier - figuruje na wcześniej utworzonej liście adresów IP, którymi najczęściej posługują się cyberprzestępcy z APT28.

Informując o cyberataku na rządową agencję, CISA opisała szczegóły wykorzystanych przez hakerów technik. Cyberprzestępcy wtargnęli do chronionej sieci, uzyskawszy dostęp do danych logowania pracowników zaatakowanej instytucji. CISA przyznała, że nie jest jasne, w jaki sposób hakerzy pozyskali te informacje, ale spekuluje się, iż wykorzystali w tym celu lukę bezpieczeństwa w oprogramowaniu do obsługi wirtualnych sieci prywatnych Pulse Secure VPN.

APT28 w przeszłości atakowała już cele rządowe - m.in. podczas operacji cyberszpiegowskich ukierunkowanych na instytucje NATO, a także rządy państw Europy Wschodniej. Według CISA Fancy Bear kontynuuje niektóre z tych działań.