Rosyjski malware zamiast wina. Kuszą urzędników darmową degustacją i hakują ich sprzęty

Znana grupa hakerska Cozy Bear (APT29), powiązana z rosyjskim wywiadem FSB, ponownie uderza w zachodnich dyplomatów. Tym razem narzędziem ataku stało się eleganckie zaproszenie na... degustację win. Za kieliszkiem Bordeaux kryła się jednak kolejna odsłona złośliwego oprogramowania – nowy wariant tzw. „backdoora” o nazwie Grapeloader, który zagraża bezpieczeństwu instytucji rządowych w Europie.

Eksperci z izraelskiej firmy Check Point ujawnili, że hakerzy wrócili do sprawdzonego schematu z 2023 roku, kiedy to podszywali się pod organizatorów kolacji dyplomatycznych, aby zainfekować komputery niemieckich polityków oprogramowaniem Wineloader. Tym razem celowniki Cozy Bear skierowane zostały na znacznie szersze grono: dyplomatów w całej Europie.

Zaproszenie pełne pułapek

Cyberatak rozpoczął się od pozornie niewinnych e-maili, stylizowanych na oficjalną korespondencję Ministerstwa Spraw Zagranicznych jednego z krajów europejskich. Tematy wiadomości brzmiały przekonująco: „Degustacja wina (data aktualizacji)”, „Kolacja dyplomatyczna” czy „Dla kalendarza ambasadora”. W treści znalazł się link do rzekomej rejestracji udziału – w rzeczywistości prowadzący do niebezpiecznego pliku.

Co istotne, link działał tylko w bardzo specyficznych warunkach, co miało zmylić automatyczne systemy zabezpieczeń. Według Check Point, złośliwe oprogramowanie można było pobrać tylko z określonej lokalizacji geograficznej lub w określonym czasie, a serwer obsługujący kampanię był silnie zabezpieczony przed analizą.

Jeśli ofiara spełniała warunki techniczne napastników, link prowadził do pliku wine.zip, który zawierał trzy elementy:

1. wine.exe – pozornie legalny plik PowerPointa, wykorzystywany do uruchomienia złośliwego kodu.

2. AppvIsvSubsystems64.dll – zamaskowana biblioteka, technicznie potrzebna do działania prezentacji, ale w rzeczywistości służąca jako przynęta.

3. ppcore.dll – właściwe zagrożenie: Grapeloader, loader pozwalający na instalację kolejnych narzędzi szpiegowskich, w tym zaktualizowanej wersji Wineloadera.

Nowe możliwości, stara taktyka

Grapeloader to bardziej zaawansowany wariant znanego wcześniej oprogramowania. Po uruchomieniu kopiuje pliki na dysk ofiary, manipuluje rejestrem systemowym, zapewniając trwałość infekcji, zbiera dane o systemie i co minutę łączy się z serwerem sterującym Cozy Bear, by odbierać nowe polecenia – w tym pobierać kolejne złośliwe komponenty.

Zaktualizowany Wineloader, który ma zostać dostarczony w kolejnych fazach ataku, to 64-bitowy trojan, pozwalający na kradzież danych i ich zaszyfrowaną transmisję. Dzięki nowym mechanizmom maskującym (w tym kodzie śmieciowym i usuwaniu śladów z pamięci RAM) jest znacznie trudniejszy do wykrycia przez oprogramowanie antywirusowe.

Atak z podpisem Kremla

Zdaniem Check Point, za kampanią niemal na pewno stoi rosyjski rząd, a Cozy Bear – jedna z najbardziej doświadczonych grup cybernetycznych Moskwy – realizuje jego bezpośrednie wytyczne. To właśnie ten zespół odpowiadał za głośny atak na firmę SolarWinds w 2020 roku, a wcześniej za włamania do systemów Partii Demokratycznej USA, Departamentu Stanu i nawet Białego Domu w 2016 roku.

Działalność Cozy Bear sięga końca pierwszej dekady XXI wieku. Od tamtego czasu grupa przeszła ewolucję – od tworzenia narzędzi szpiegowskich, po prowadzenie kompleksowych kampanii cyberataków na cele strategiczne. Ich skuteczność sprawiła, że stali się jednym z głównych oręży Moskwy w cyfrowej wojnie informacyjnej i szpiegowskiej.

Zachodnie służby wywiadowcze i organy cyberbezpieczeństwa alarmują, że kampania phishingowa wymierzona w europejskich dyplomatów może być tylko początkiem kolejnej fali cyberataków. Cozy Bear już wcześniej był aktywny podczas pandemii COVID-19, próbując wykraść dane o szczepionkach. Dziś celami mogą być nie tylko placówki dyplomatyczne, ale także instytucje wojskowe, technologiczne i infrastruktura krytyczna.

Ostrzeżenia przed fałszywymi zaproszeniami – zarówno na kolacje, jak i spotkania w aplikacjach takich jak Microsoft Teams – zaczynają pojawiać się w komunikatach rządowych agencji ds. cyberbezpieczeństwa. Kluczowe znaczenie ma teraz podnoszenie świadomości pracowników administracji publicznej i służb zagranicznych.