Hackeri ce au LEGĂTURI cu guvernul rus au atacat MAE român, după ce au FALSIFICAT o adresă de email a NATO

Sursa: ziare.com

Un grup de hackeri de elită care are legături cu Guvernul din Rusia s-a dat drept reprezentant al NATO şi a trimis mai multe e-mailuri de phishing către mai multe organizaţii diplomatice din Europa, inclusiv Ministerului Afacerilor Externe din România, potrivit unor documente.

CyberScoop susţine că a obţinut copia unui astfel de email de phishing atribuit grupului de hackeri, care este cunoscut sub numele de APT28 sau Fancy Bear.

Emailul, care conţine un ataşament care foloseşte două vulnerabilităţi ale Microsoft Word dezvăluite recent, arată că grupul sprijinit de Guvernul rus a folosit cu succes o adresa de email a NATO pentru a face mesajul să pară autentic. Domeniul hq.nato.intl este utilizat în prezent de angajaţii NATO, notează sursa citată.

Potrivit unei imagini pulicată de CyberScoop, emailul ar fi fost trimis de către căpitanul Alistair Borchert către o persoană care lucrează pentru MAE din România.

Un analist al firmei de securitate cibernetică FireEye a confirmat că emailul arătat în imaginea publicată pe site-ul citat este legat de activitatea APT28. Nu se cunoaşte public cine a fost targhetat de această campanie şi nici lista completă de destinatari. Recent, grupul APT28 a fost prezentat drept posibilă sursă a atacurilor asupra campaniei lui Emmanuel Macron la preşedinţia Franţei.

NATO nu a comentat acest atac, dar a precizat că hackerii încearcă în mod constant să atace sistemele alianţei.

„Suntem conştienţi de faptul că astfel de atacuri includ utilizarea unor adrese ale NATO falsificate”, a declarat un oficial al NATO. Sursa a precizat că de fiecare dată când se detectează adrese de email ale NATO falsificate, reprezentanţii alianţei avertizează autorităţile responsabile din ţările aliate pentru a le preveni.

„Grupul de hackeri APT28, care este cunoscut şi că Fancy Bear sau Pawn Stor - este foarte cunoscut şi vom urmări îndeaproape activităţile sale”, a menţionat sursa.

Emailul trimis MAE român avea un ataşament numit „Trump's_Attack_on_Syria_English.docx”, care conţinea un articol de presă în Microsoft Word. Dacă ataşamentul era deschis pe un sistem vulnerabil se descarcă un troian care permitea accesul de la distanţă prin exploatarea celor două vulnerabilităţi ale Microsoft Word.

Ministerul român de Externe nu a răspuns solicitării CyberScoop de a comenta acest caz.

Troianul folosit de APT28 în acest caz este numit „gamefish” şi este un instrument care oferă hackerilor o gamă largă de posibilităţi de spionaj.

Analistul FireEye Ben Read a spus că acest instrument ar putea fi folosit pentru a încărca alţi viruşi pe un calculator deja compromis.

O analiză a emailului trimis către biroul din România sugerează că cei care erau tinetele foloseau antiviruşi dezvoltaţi de IronPort şi Sophos, care, din păcate, nu ar fi putut indica că ataşamentul este dăunător.

Sursa: ziare.com