Служба военной контрразведки (SKW) Польши и группа кибербезопасности CERT сообщили о «шпионской кампании» с участием российских спецслужб. Они занимались «незаконным сбором информации от министерств иностранных дел и дипломатических представительств, в основном расположенных в странах НАТО и Евросоюза (ЕС)», говорится в пресс-релизе CERT.
По данным спецслужбы, многие элементы этой кампании — такие как инфраструктура, методы и используемые инструменты — частично или полностью совпадают с действиями группы, которую называют Nobelium, или APT29. Эти хакеры якобы связаны с «многочисленными другими кампаниями разведывательного характера». CERT подчеркивает, что упомянутая российская разведывательная группа до сих пор продолжает свои действия.
По версии польской стороны, хакеры использовали фишинг. Они рассылали сотрудникам диппредставительств электронные письма якобы от посольств стран ЕС. В письмах было «приглашение на встречу или для совместной работы над документами». В сообщении или в прикрепленном PDF-файле была ссылка, которая должна была перенаправить на график работы посла, детали встречи или загружаемый файл. На самом деле эта ссылка «вела на скомпрометированную веб-страницу с характерным для этой группы скриптом», при этом «содержимое страницы должно было убедить жертву в том, что она загрузила правильное вложение».
В CERT также рассказали, что злоумышленники используют «уникальное программное обеспечение». «Новые инструменты (взлома.— "Ъ") использовались параллельно и независимо (друг от друга.— "Ъ") или последовательно, заменяя старые решения, эффективность которых снижалась. Это позволило злоумышленникам сохранить непрерывность бизнеса»,— уточняется в пресс-релизе.
Польская разведслужба рекомендует всем субъектам, «которые могут находиться в сфере интересов русской шпионской гриппы», внедрить механизмы для эффективного противодействия этой кампании. В первую очередь эта рекомендация касается государственных и дипломатических учреждений, министерств иностранных дел, посольств, дипломатического и международного персонала, международных и неправительственных организаций, добавили в CERT.
В мае 2021 года более 150 организаций из 24 стран подверглись массированной кибератаке. Microsoft возложила ответственность на хакерскую группировку с «российскими корнями» Nobelium. Она же, как считают в американской компании, несет ответственность за самый масштабный взлом правительственных структур США в 2020 году. В Кремле обвинения назвали «абстрактными» и «голословными». В июне того же года была осуществлена крупномасштабная кибератака на польских политиков, в которой местные власти также обвинили хакеров из России.