Z analiz firmy F-Secure, zajmującej się bezpieczeństwem informatycznym wynika, że hakerzy z grupy "Diuków" (The Dukes) przez przynajmniej 7 lat gromadzili dane dotyczące polskiej polityki zagranicznej oraz obronnej.
Zdaniem ekspertów F-Secure, działania Diuków były prowadzone od 2008 r. Celami ataków były Polska, Czechy, Ukraina, Gruzja, Kazachstan, Azerbejdżan, Uzbekistan, a także indywidualne osoby przebywające na Węgrzech, w Belgii, Luksemburgu oraz Hiszpanii. Hakerzy atakowali m.in. ministerstwa spraw zagranicznych, ministerstwa obrony, ambasady i parlamenty.
Analitycy podkreślają w raporcie, że w ostatnich latach Diukowie dwa razy do roku prowadzili zakrojone na szeroką skalę ataki ukierunkowanego wyłudzania informacji od setek, a nawet tysięcy odbiorców z instytucji rządowych oraz stowarzyszonych organizacji.
W ramach operacji wykorzystywano m.in. specjalnie spreparowane, złośliwe dokumenty Worda i PDF, które wysyłano jako załączniki e-mail w celu zinfiltrowania wybranych organizacji. Oprogramowanie szpiegujące automatycznie rozpoczynało proces instalacji w momencie otwarciu plików. Treść przesyłanych dokumentów nawiązywała do ważnych, bieżących wydarzeń społecznych i politycznych, takich jak np. kryzys ukraiński, co zwiększało prawdopodobieństwo otwarcia, a tym samym skuteczność ataku.
Cechą charakterystyczną organizacji jest także wyraźne lekceważenie informacji demaskujących część ich operacji. Zdaniem analityków F-Secure sugeruje to, że beneficjenci Diuków są tak wpływowi i tak ściśle powiązani z grupą, że hakerzy są przeświadczeni o swojej bezkarności. Eksperci przekonują, że jednym beneficjentem mogącym zaoferować tak kompleksową ochronę jest rząd państwa, w którym operuje grupa.
Pomimo, że analitycy F-Secure nie mogą jednoznacznie przypisać żadnemu krajowi odpowiedzialności za działania Diuków, wszystkie dostępne poszlaki sugerują, że grupa operuje w imieniu Federacji Rosyjskiej. Analitycy zwracają uwagę, że nie są obecnie znane żadne fakty, które podważałyby tę teorię. Dodają, że Diukowie brali dotychczas na cel instytucje państwowe z całego świata, ale nigdy nie odnotowano ataków na podmioty związane z rządem rosyjskim.
"Podstawowa misja grupy świadczy o tym, że głównym beneficjentem jej pracy jest rząd. Czy jednak Diukowie są zespołem albo wydziałem powołanym przez agencję rządową? Zewnętrznym wykonawcą? Gangiem przestępców sprzedających usługi temu, kto zapłaci najwięcej? Grupą obeznanych technicznie patriotów? Nie wiadomo" - piszą autorzy raportu.
Dodatkowe informacje na temat działalności grupy Diuków można znaleźć w dokumencie F-Secure Labs „The Dukes, 7 years of Russian Cyberspionage” dostępnym na stronie f-secure.com oraz f-secure.pl.
Analitycy podkreślają w raporcie, że w ostatnich latach Diukowie dwa razy do roku prowadzili zakrojone na szeroką skalę ataki ukierunkowanego wyłudzania informacji od setek, a nawet tysięcy odbiorców z instytucji rządowych oraz stowarzyszonych organizacji.
"Rozbij i łap"
Ataki realizowano metodą "rozbij i łap". Polega ona na szybkim, choć hałaśliwym włamaniu, po którym następuje gromadzenie i wydobywanie jak największej ilości danych. Jeśli okazało się, że zaatakowany cel był wartościowy, Diukowie szybko zmieniali pakiet narzędzi i przechodzili na bardziej dyskretną taktykę, skupiając się na trwałym dostępie i długofalowym gromadzeniu informacji.W ramach operacji wykorzystywano m.in. specjalnie spreparowane, złośliwe dokumenty Worda i PDF, które wysyłano jako załączniki e-mail w celu zinfiltrowania wybranych organizacji. Oprogramowanie szpiegujące automatycznie rozpoczynało proces instalacji w momencie otwarciu plików. Treść przesyłanych dokumentów nawiązywała do ważnych, bieżących wydarzeń społecznych i politycznych, takich jak np. kryzys ukraiński, co zwiększało prawdopodobieństwo otwarcia, a tym samym skuteczność ataku.
Kim są Diukowie i kto ich sponsoruje?
Eksperci F-Secure twierdzą, że Diukowie to najprawdopodobniej rosyjska grupa cyberszpiegowska. Biorą na cel przede wszystkim zachodnie rządy i powiązane z nimi organizacje, takie jak ministerstwa i agencje rządowe, polityczne think tanki oraz podwykonawcy rządowi. Analizy wykazały, że hakerzy posiadają rozbudowaną strukturę oraz mają zapewniony dostęp do stabilnych źródeł finansowania.Cechą charakterystyczną organizacji jest także wyraźne lekceważenie informacji demaskujących część ich operacji. Zdaniem analityków F-Secure sugeruje to, że beneficjenci Diuków są tak wpływowi i tak ściśle powiązani z grupą, że hakerzy są przeświadczeni o swojej bezkarności. Eksperci przekonują, że jednym beneficjentem mogącym zaoferować tak kompleksową ochronę jest rząd państwa, w którym operuje grupa.
Pomimo, że analitycy F-Secure nie mogą jednoznacznie przypisać żadnemu krajowi odpowiedzialności za działania Diuków, wszystkie dostępne poszlaki sugerują, że grupa operuje w imieniu Federacji Rosyjskiej. Analitycy zwracają uwagę, że nie są obecnie znane żadne fakty, które podważałyby tę teorię. Dodają, że Diukowie brali dotychczas na cel instytucje państwowe z całego świata, ale nigdy nie odnotowano ataków na podmioty związane z rządem rosyjskim.
"Podstawowa misja grupy świadczy o tym, że głównym beneficjentem jej pracy jest rząd. Czy jednak Diukowie są zespołem albo wydziałem powołanym przez agencję rządową? Zewnętrznym wykonawcą? Gangiem przestępców sprzedających usługi temu, kto zapłaci najwięcej? Grupą obeznanych technicznie patriotów? Nie wiadomo" - piszą autorzy raportu.
Dodatkowe informacje na temat działalności grupy Diuków można znaleźć w dokumencie F-Secure Labs „The Dukes, 7 years of Russian Cyberspionage” dostępnym na stronie f-secure.com oraz f-secure.pl.