Trong một cuộc phỏng vấn với hãng tin Ukraine Economic Truth được Thông tấn xã Ba Lan trích dẫn, Bộ trưởng Kỹ thuật số Krzysztof Gawkowski cho biết, Ba Lan đã xác định nhiều chiến dịch tấn công mạng nhắm vào nước này, với các mục tiêu là nguồn cung cấp nước và dịch vụ y tế, ông cho rằng các tin tặc Nga đã thực hiện những cuộc tấn công này.

Theo báo cáo được công bố bởi Đội ứng cứu sự cố an ninh máy tính Ba Lan - CSIRT MON (do Bộ trưởng Bộ Quốc phòng nước này phụ trách) và Đội ứng cứu khẩn cấp máy tính Ba Lan - CERT Polska, tin tặc nhà nước APT28 của Nga đã thực hiện một chiến dịch tấn công lừa đảo quy mô lớn với mục tiêu là các cơ quan chính phủ Ba Lan.

Các email lừa đảo đã cố gắng đánh lừa người nhận nhấp vào các liên kết được gửi đính kèm để cung cấp cho họ quyền truy cập vào nhiều thông tin hơn liên quan về một người phụ nữ Ukraine bí ẩn.

Sau khi nhấp vào, liên kết đã chuyển hướng người nhận qua nhiều trang web trước khi đến trang tải xuống kho lưu trữ ZIP. Kho lưu trữ này chứa một tệp thực thi độc hại được ngụy trang dưới dạng tệp hình ảnh JPG và hai tệp ẩn, đó là một tập lệnh DLL và .BAT.

Khi nạn nhân mở tệp thực thi, nó sẽ tải DLL thông qua kỹ thuật DLL sideloading và chạy tập lệnh ẩn. Tập lệnh này hiển thị hình ảnh một người phụ nữ bí ẩn trên trình duyệt Microsoft Edge để gây mất tập trung từ phía nạn nhân, trong khi đồng thời tải xuống tệp CMD và thay đổi phần mở rộng của nó thành JPG.

"Cuối cùng, tập lệnh sẽ thu thập thông tin về máy tính (địa chỉ IP và danh sách các tệp trong các thư mục đã chọn) mà chúng được khởi chạy trên đó, sau đó gửi những thông tin này đến máy chủ điều khiển và ra lệnh (C2) của các tin tặc”, CERT Polska cho biết .

Chiến thuật và cơ sở hạ tầng được sử dụng trong các cuộc tấn công này tương tự với phương thức được sử dụng trong một chiến dịch nhắm mục tiêu cao khác, trong đó các tin tặc APT28 đã sử dụng mồi nhử liên quan đến xung đột giữa Israel và Hamas để cài cắm mã độc Headlace, từ đó cho phép kẻ tấn công truy cập vào các thiết bị của quan chức từ 13 quốc gia, bao gồm cả các thành viên Hội đồng Nhân quyền Liên Hợp Quốc.

Luồng hoạt động độc hại của nhóm tin tặc APT28

Theo các nhà nghiên cứu, kể từ khi nổi lên vào giữa những năm 2000, nhóm tin tặc APT28 được nhà nước Nga hậu thuẫn đã tiến hành nhiều cuộc tấn công mạng quy mô lớn.

Tin tặc APT28 được cho là đứng sau các cuộc tấn công vào Ủy ban Quốc gia Đảng Dân chủ (Democratic National Committee - DNC) và Ủy ban Vận động Quốc hội Dân chủ (Democratic Congressional Campaign Committee - DCCC) trước cuộc bầu cử Tổng thống Mỹ năm 2016 và vụ xâm phạm vào Nghị viện Liên bang Đức vào năm 2015.

Mỹ đã cáo buộc nhiều thành viên của APT28 vì liên quan đến các cuộc tấn công DNC và DCCC vào tháng 7/2018, trong khi Hội đồng Liên minh Châu Âu (EU) đã đưa ra các lệnh trừng phạt APT28 vào tháng 10/2020 vì tấn công vào Nghị viện Liên bang Đức.

Đầu tháng 5/2024, Tổ chức Hiệp ước Hiệp ước Bắc Đại Tây Dương (NATO) và EU cùng các đối tác quốc tế đã chính thức lên án chiến dịch gián điệp mạng của các tin tặc APT28 nhắm vào nhiều quốc gia châu Âu, trong đó có Đức và Cộng hòa Séc.

Đức cho biết nhóm tin tặc của Nga đã xâm phạm nhiều tài khoản email của các thành viên Ban chấp hành Đảng Dân chủ Xã hội Đức. Bộ Ngoại giao Cộng hòa Séc cũng tiết lộ rằng tin tặc APT28 đã tấn công mạng vào một số thực thể chính trị, cơ quan nhà nước và cơ sở hạ tầng quan trọng của quốc gia này để khai thác lỗ hổng bảo mật trong Outlook được phát hiện vào đầu năm 2023.

Những kẻ tấn công đã khai thác lỗ hổng CVE-2023-23397 Microsoft Outlook trong các cuộc tấn công, đây là lỗ hổng được các tin tặc khai thác để nhắm mục tiêu vào các thành viên NATO ở châu Âu, các cơ quan chính phủ Ukraine và Lực lượng phản ứng nhanh của NATO bắt đầu từ tháng 4/2022.

“Chúng tôi kêu gọi Nga dừng các hoạt động độc hại này, đồng thời tuân thủ các cam kết và nghĩa vụ quốc tế của mình. Với EU và các đồng minh NATO, chúng tôi sẽ tiếp tục hành động để ngăn chặn các hoạt động tấn công mạng của Nga, bảo vệ công dân và đối tác nước ngoài của chúng tôi, bên cạnh đó thực hiện các biện pháp để ngăn chặn các tác nhân độc hại”, Bộ Ngoại giao Mỹ cho biết trong một tuyên bố mới đây.