Hackerii ruşi au trimis inclusiv la MAE din România e-mailuri phishing prezentându-se drept reprezentanţi NATO

Experţii CyberScoop au obţinut inclusiv o copie a unui e-mail phishing, care a fost trimis de către hackerii grupului APT28 sau Fancy Bear.

Acest e-mail conţine inclusiv un ataşament care profită de două vulnerabilităţi recent descoperite ale Microsoft Word.

De asemenea, hackerii au reuşit cu succes să falsifice numeroase adrese de e-mail ale reprezentanţilor NATO, pentru ca mesajele să pară cât mai autentice pentru organizaţiile diplomatice din Europa.

În prezent, angajaţii aliaţei militare utilizează adresa hq.nato.intl, în vreme ce un e-mail phishing a fost trimis de pe adresa hq.nato.int, iar capcana utilizată de hackeri a apărut deja pe site-ul Virus Total.

Un analist de la o firmă de securitate cibernetică a confirmat că imaginea e-mailului este una autentică şi asociată cu activitatea APT28.

Aceiaşi hackeri au fost învinuiţi pentru masivul atac cibernetic care a vizat e-mailurile campaniei Macron şi pentru atacurile informatice care au vizat organizaţii democratice în timpul alegerilor prezidenţiale din Statele Unite.

NATO nu a comentat cu privire la acest atac, dar a explicat că hackerii încearcă constant să atace sistemele informatice ale alianţei militare.

„Suntem conştienţi că asemenea atacuri utilizează adeseori adrese falsificate ale NATO. Este o practică destul de comună, iar NATO alertează autorităţile responsabile din ţările aliate atunci când descoperim asemenea adrese falsificate. Hackerii APT28 sunt cunoscuţi în comunitatea de securitate cibernetică şi noi le urmărim îndeaproape activitatea”, a declarat un oficial al NATO pentru CyberScoop.

Un asemenea e-mail a ajuns şi la Ministerul de Externe al României cu ataşamentul intitulat „Trump’s_Attack_on_Syria_English.docx”, care era un articol de presă introdus într-un document Microsoft Word.

Dacă acest ataşamet este deschis pe un sistem vulnerabil, atunci poate descărca un trojan şi să exploateze două vulnerabilităţi de programare din Microsoft Word.

MAE nu a răspuns unei solicitări din partea CyberScoop.

Acest virus este descărcat local, ceea ce înseamnă că nu are nevoie de o conexiune la internet. Numit „GameFish”, acest trojan cu acces de la distanţă este o metodă comună de hacking pentru APT28.

De asemenea, acest atac cibernetic le permite hackerilor să spioneze calculatoarele şi să extragă informaţii din servere.

O analiză a e-mailurilor trimise ministerului român sugerează că victimele utilizau produse de tip antivirus dezvoltate de IronPort şi Sophos.

Din păcate, niciun antivirus nu a identificat pericolul reprezentat de e-mailurile trimise de APT28.

Nu există informaţii despre numărul organizaţiilor diplomatice vizate de acest atac şi în câte rânduri a dat rezultate pentru hackerii din Rusia.