We wspólnym oświadczeniu wydanym przez brytyjskie, amerykańskie i kanadyjskie służby zajmujące się cyberbezpieczeństwem przypisano ataki grupie APT29, znanej również jako Cozy Bear lub The Dukes. Jak wskazano, służby mają ponad 95 proc. pewności, że działa ona w ramach rosyjskich służb wywiadowczych.
W oświadczeniu służb nie sprecyzowano, które organizacje były celem ataków, ani czy jakieś informacje zostały skradzione. Zapewniono jednak, że hakerzy nie utrudniali badań nad szczepionkami.
- Zupełnie nie do przyjęcia jest fakt, że rosyjskie służby wywiadowcze atakują osoby pracujące nad zwalczaniem pandemii koronawirusa. Podczas gdy inni realizują swoje egoistyczne interesy niebezpiecznym zachowaniem, Wielka Brytania i jej sojusznicy podejmują ciężką pracę nad znalezieniem szczepionki i ochroną zdrowia na świecie - oświadczył brytyjski minister spraw zagranicznych Dominic Raab. Dodał, że Wielka Brytania będzie współpracować z sojusznikami, aby pociągnąć sprawców do odpowiedzialności.
Brytyjska, kanadyjska i amerykańskie agencje poinformowały, że hakerzy wykorzystywali błędy w oprogramowaniu, aby uzyskać dostęp do podatnych na zagrożenia systemów komputerowych, a także wykorzystywali złośliwe oprogramowanie zwane WellMess i WellMail, służące globalnemu skanowaniu adresów IP w poszukiwaniu niezabezpieczonych haseł dostępu, do wysyłania i pobierania plików z zainfekowanych komputerów. Ponadto mieli oni wyłudzać dane do logowania za pomocą ataków spear-phishingowych.
Spear phishing jest ukierunkowaną i spersonalizowaną formą ataku, zaprojektowaną w celu oszukania konkretnej osoby. Często poczta elektroniczna wydaje się pochodzić od zaufanego kontaktu i może zawierać pewne dane osobowe, aby wiadomość wydawała się bardziej przekonująca.
"APT29 będzie prawdopodobnie nadal brać na celownik instytucje zaangażowane w badania i rozwój szczepionek przeciw Covid-19, ponieważ starają się one odpowiedzieć na dodatkowe pytania wywiadowcze związane z pandemią" - ostrzegła w oświadczeniu NCSC.
To nie pierwsza próba cyberataku
W maju Communications Security Establishment (CSE - kanadyjski wywiad elektroniczny) zauważył próby naruszenia zabezpieczeń w instytucjach prowadzących badania związane z Covid-19. Szef Centrum Cyberbezpieczeństwa Scott Jones powiedział podczas posiedzenia komisji parlamentarnej, że CSE pomagał opanować tego typu problemy i zajął się ustalaniem, kto i w jakim celu te działania prowadził. - Zawsze zakładamy, że jest to najbardziej zaawansowany technicznie podmiot - mówił wówczas Jones w odpowiedzi na pytania parlamentarzystów.
Tydzień wcześniej kanadyjskie agencje wywiadu, Canadian Security Intelligence Service (CSIS) i CSE, wydały wspólny komunikat, w którym ostrzegły, że wyniki prac kanadyjskich naukowców stały się celem finansowanych przez obce rządy działań szpiegowskich. Żaden konkretny rząd czy podmiot nie został jednak wymieniony.
W tym samym czasie w Stanach Zjednoczonych FBI i Cybersecurity Infrastructure Security Agency oskarżyły Chiny o finansowanie przestępczych działań mających na celu kradzież rezultatów badań naukowych dotyczących Covid-19, prowadzonych w USA i krajach sojuszniczych. Publiczne i prywatne instytuty zostały ostrzeżone przed nasilonymi cyberatakami.
Grupa Cozy Bear jest powszechnie podejrzewana o ataki hakerskie na Partię Demokratyczną przed wyborami w USA w 2016 roku.
