Zespół CERT Polska wykrył działania grupy hakerskiej UNC1151, stojącej m.in. za operacją Ghostwriter. Przestępcy, prawdopodobnie powiązani z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU), podszyli się pod osoby sprawujące wysokie funkcje państwowe, wykorzystując do tego skrzynki poczty elektronicznej na popularnym portalu – napisał w oświadczeniu Pełnomocnik Rządu ds. Cyberbezpieczeństwa.
22 sierpnia Pełnomocnik Rządu ds. Cyberbezpieczeństwa przekazał do zespołu CERT Polska zgłoszenie zawierające treść maili wysłanych ze skrzynek, których nazwy sugerowały, że należą do osób sprawujących wysokie funkcje państwowe. Zespół stwierdził, że mogą one posiadać załączniki zawierające złośliwe oprogramowanie Cobalt Strike, które po zainstalowaniu na komputerze ofiary pozwala na kradzież danych, żądanie okupu lub rozsyłanie złośliwych wiadomości do kolejnych adresatów.
Eksperci CERT Polska skontaktowali się z dostawcą usługi pocztowej i doprowadzili do niezwłocznego zablokowania podejrzanych skrzynek w celu ograniczenia rozprzestrzeniania się złośliwego oprogramowania. Minister Cyfryzacji Janusz Cieszyński poinformował o sytuacji pełnomocnika wyborczego KW Prawo i Sprawiedliwość – zarówno osoby, pod których tożsamość podszyli się sprawcy, jak i adresaci fałszywych wiadomości są bowiem członkami oraz sympatykami Prawa i Sprawiedliwości. Dalsze działania związane z wyjaśnieniem sytuacji będą realizowane przez zespół CERT Polska i organy ścigania.
Przypominamy, że okres kampanii sprzyja wykorzystaniu tematyki wyborczej jako motywu przewodniego maili phishingowych, tj. takich, których treść służy do przeprowadzenia ataku socjotechnicznego, którego celem jest podjęcie przez użytkownika działań zgodnych z zamierzeniami przestępców, w tym przypadku instalacji złośliwego oprogramowania. Maile phishingowe mogą zawierać np. zaproszenia na wydarzenia o charakterze politycznym lub sensacyjne informacje rzekomo dotyczące spraw ważnych dla wyborców.