Ukraiński Zespół Reagowania na Incydenty Komputerowe (CERT-UA) ogłosił, że odnotowano nowe zagrożenie, w którym podmiot śledzony jako UAC-0125 wykorzystuje usługę Cloudflare Workers do podsuwania złośliwego oprogramowania wojskowym w Ukrainie. Oprogramowanie to podszywa się pod Army+, aplikację mobilną zaprojektowaną przez Ministerstwo Obrony w sierpniu 2024 roku w celu uproszczenia administracji i przejścia na elektroniczną dokumentację.
Osoby odwiedzające fałszywe strony, stworzone za pomocą Cloudflare Workers, są nakłaniane do pobrania pliku wykonywalnego dla systemu Windows o nazwie Army+. Złośliwy plik został opracowany przy użyciu systemu instalacyjnego Nullsoft Scriptable Install System (NSIS), który jest otwartoźródłowym narzędziem umożliwiającym tworzenie instalatorów dla systemu Windows.
Po uruchomieniu tego pliku użytkownik widzi fałszywą kartę aplikacji jako przynętę, podczas gdy w tle wykonywany jest skrypt PowerShell. Skrypt ten instaluje na urządzeniu ofiary narzędzie OpenSSH, generuje klucze kryptograficzne RSA, dodaje klucz publiczny do pliku authorized_keys, a klucz prywatny przesyła na serwer kontrolowany przez atakującego za pomocą sieci TOR, zapewniającej anonimowość. W efekcie cyberprzestępcy mogą uzyskać zdalny dostęp do zainfekowanego urządzenia.
CERT-UA zaznaczyło, że obecnie nie jest znany sposób, w jaki linki do zainfekowanych stron są rozpowszechniane. Wiadomo jednak, że UAC-0125 wykazuje bliskie powiązania z inną grupą o określeniu UAC-0002, znaną również jako APT44, FROZENBARENTS, Sandworm, Seashell Blizzard i Voodoo Bear. Te zaawansowane ugrupowanie (APT) jest przypisywane jednostce 74455 w Głównym Zarządzie Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
W ostatnim czasie inne raporty wykazują nasilenie podobnych nadużyć legalnych usług. Jak donosi Fortra, wzrasta liczba ataków phishingowych wykorzystujących Cloudflare Workers i Pages jako narzędzia do hostowania fałszywych stron logowania, które podszywają się pod witryny Microsoft 365 i platformy do weryfikacji tożsamości. W porównaniu z poprzednimi latami, liczba takich incydentów wzrosła dramatycznie – o 198% na Cloudflare Pages (z 460 w 2023 roku do 1,370 w połowie 2024 roku) oraz o 104% na Cloudflare Workers (z 2,447 do 4,999).
W kontekście eskalacji cybernetycznych zagrożeń i działań destabilizujących pozycję zachodnich państw, Rada Europejska nałożyła sankcje na 16 osób i trzy podmioty związane z operacjami Rosji. Wśród nich znalazły się jednostka 29155 GRU, oskarżana o zaangażowanie się w zamachy, zamachy bombowe oraz cyberataki w Europie, a także inne organizacje prowadzące dezinformacyjne kampanie propagujące interesy Rosji.
W ramach nowych sankcji, restrykcje dotknęły także platformę dezinformacyjną o nazwie Doppelganger, której kampanie sztucznej inteligencji miały na celu szerzenie propagandy wojskowej i podsycanie nastrojów antyukraińskich. Zakrojone działania objęły również kluczowe postacie, takie jak Sofia Zacharowa, odpowiedzialna za rozwój infrastruktury komunikacyjnej w Rosji, oraz Nikołaj Tupikin, założyciel GK Struktura, również obłożony sankcjami przez Departament Skarbu USA za prowadzenie działań wpływowych.
Świadome wykorzystanie technologii w celach destrukcyjnych przez grupy takie jak UAC-0125 świadczy o rosnących możliwościach atakujących i skali zagrożeń, które wymagają natychmiastowych działań ze strony społeczności międzynarodowej, firm technologicznych oraz użytkowników. W świetle tych wydarzeń konieczne jest zwiększenie poziomu świadomości o zagrożeniach oraz stosowanie solidnych zabezpieczeń technicznych, by przeciwdziałać tego typu incydentom.
