Hackeri susținuți de statul rus au profitat aproape imediat de o breșă gravă de securitate din Microsoft Office, reușind să pătrundă în sistemele unor instituții diplomatice, maritime și de transport din mai multe țări, la scurt timp după ce Microsoft a lansat o actualizare de urgență, arată o analiză publicată de experți în securitate cibernetică.

Potrivit specialiștilor de la compania Trellix, gruparea cunoscută sub numele de APT28, asociată serviciilor de informații ale Rusiei și cunoscută și sub denumirile Fancy Bear sau Sofacy, a început atacurile la mai puțin de două zile după apariția patch-ului de securitate. Vulnerabilitatea le-a permis atacatorilor să preia controlul asupra unor calculatoare prin simple e-mailuri aparent legitime, informează ArsTechnica.

Campania a fost concepută astfel încât să treacă neobservată

Atacatorii au folosit mesaje trimise din conturi oficiale deja compromise, ceea ce le-a făcut să pară de încredere pentru destinatari. Odată deschise, aceste e-mailuri le ofereau hackerilor acces la sistemele vizate, fără să lase urme vizibile și fără a declanșa alarmele obișnuite ale programelor antivirus.

„Acest caz arată cât de repede pot fi exploatate noile breșe de securitate și cât de puțin timp au instituțiile la dispoziție pentru a-și actualiza sistemele”, avertizează cercetătorii. Ei subliniază că atacatorii au folosit infrastructuri online legitime, precum servicii de tip cloud, pentru a-și ascunde activitatea în traficul normal de internet.

Atacul a avut loc pe parcursul a trei zile

Atacul a avut loc pe parcursul a trei zile, începând cu 28 ianuarie, și a vizat organizații din cel puțin nouă țări, în special din Europa de Est. Printre statele afectate se numără Polonia, Slovenia, Turcia, Grecia, Emiratele Arabe Unite, Ucraina, România și Bolivia. Cele mai multe ținte au fost instituții din domeniul apărării, companii de transport și logistică, precum și organizații diplomatice.

După infectare, hackerii au instalat programe ascunse care le-au permis să spioneze sistemele, să rămână conectați pe termen lung și să aibă acces la e-mailuri și documente sensibile. În unele cazuri, aceștia au putut copia automat mesajele din conturile de e-mail, fără ca utilizatorii să observe ceva neobișnuit.

Stilul atacului și tipul țintelor indică implicarea grupării APT28

Experții în securitate cibernetică spun că stilul atacului și tipul țintelor indică implicarea grupării APT28, cunoscută pentru operațiuni de spionaj cibernetic și influență politică. Aceeași concluzie a fost trasă și de autoritățile ucrainene specializate în securitate digitală.

Incidentul scoate în evidență cât de vulnerabile pot fi instituțiile publice și companiile în fața atacurilor informatice bine coordonate și cât de importantă este instalarea rapidă a actualizărilor de securitate. Specialiștii recomandă organizațiilor să verifice dacă au fost vizate și să trateze cu maximă prudență mesajele primite, chiar și atunci când par să provină din surse cunoscute.