Microsoft avastas NATO tippkohtumisel õngitsusrünnaku, mis üritab näpata salajasi andmeid

Rünnaku taga on häkker või häkkerite rühm Storm-0978. Sama ründaja on varemgi üritanud sihtida kaitse- ja valitsusasutusi Euroopas ja Põhja-Ameerikas.

Rünnakus taheti ära kasutada turvaauku CVE-2023-36884, mis lubab eemalt käivitada programme kasutaja arvutis. Rünnaku läbiviimine oli aga tüüpiline õngitsusrünnak, mille käigus sokutati kasutajale e-kirjaga pealtnäha süütu Wordi dokumendi allalaadimise link, kuid selle avamisel käivituski aken eemalt arvutisse pääsemiseks.

NATO Vilniuse tippkohtumise osalistelt üritati andmeid välja meelitada lihtsa peibutisega, neile saadeti Ukraina maailmakongressiga seotud pealtnäha ametlik dokument, mis oli tegelikult nakatatud. Ka veebiaadress oli väga sarnane õigele veebilehele.

Storm-0978 (või RomCom, mis on ka nende tagaukse nimi) on Venemaalt pärit küberkurjategijate rühmitus, mis Microsoftile teadaolevalt viib läbi lunavara- ja väljapressimisoperatsioone, aga ka sihitud rünnakuid kindlate sihtmärkide pihta.

Storm-0978 tuntuim «toode» on RomComi nimeline tagauks, millega sokutatakse ohvri arvutisse lunavara. See krüpteerib kasutaja andmed ja küsib vabastamiseks vajaliku krüptovõtme eest lunaraha.

Nende lunavara on Microsofti andmetel tihedalt seotud pahavaraga Industrial Spy, mida esmakordselt täheldati levimas eelmise aasta mais.

Storm-0978 sihitud operatsioonid on mõjutanud valitsus- ja sõjalisi organisatsioone peamiselt Ukrainas, aga ka Euroopas ja Põhja-Ameerikas, kui need on olnud seotud Ukraina abistamisega. Tuvastatud lunavararünnakud on muu hulgas mõjutanud telekommunikatsiooni- ja finantsettevõtteid.

Microsofti turvatoode Microsoft 365 Defender tuvastab Storm-0978 tegevuse ja kaitseb failide eest, mis üritavad ära kasutada turvanõrkust CVE-2023-36884. Praeguseks on enamus turvatarkvarasid selle vastu abinõu välja lasknud.

Kui siiski ei saa turvatarkvaraga ohu eest kaitsta, võivad tehnilisema lahenduse kasutajad määrata oma Windowsiga arvutis registrivõtme FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, kuid see pidi ka osaliselt Microsofti kontoritarkvara tööd mõjutama.

Teadaolevate sissetungimiste põhjal on Microsoft avastanud, et Storm-0978 on rünnaku käigus ligi pääsenud Windowsi registrile, kus on kustutatud turvakontohalduri (SAM) parooliräsi. Sellele juurdepääsuks peavad ründajad omandama süsteemitaseme õigusi.

Ukraina küberintsidente käsitlev asutus CERT-UA on samuti väljastanud hoiatuse, et Ukraina Maailmakongressi (ametlik ja ainus veebileht www.ukrainianworldcongress.org) ingliskeelne veebileht on kopeeritud ja üles pandud sarnastele libadomeenidele. Sealt saabki alla laadida nakatunud dokumente nimega Overview_of_UWCs_UkraineInNATO_campaign.docx ja Letter_NATO_Summit_Vilnius_2023_ENG(1).docx.

Nende dokumentide ja saadetud õngitsuskirjade sisu vihjab, et rünnak on suunatud just NATO tippkohtumisel osalejatele.