Rysslands cyberhot mot västerländska företag som stöder Ukraina

En rysk hackerorganisation utnyttjar falska webbläsaruppdateringar för att sprida skadlig kod till länder som ger stöd till Ukraina. Detta fall belyser den gränslösa naturen av cyberbrottslighet, där samma tekniker även används i ransomware-attacker.

Hackargrupper med kopplingar till Ryssland använder legitima webbplatser för att infiltrera företag som bistår Ukraina. En ny analys av cybersäkerhetsföretaget Arctic Wolf identifierar en del av den ryska militära underrättelsetjänsten GRU som troligtvis ligger bakom attackerna.

Analyserna visar att dessa attacker är en variant av den välkända metoden SocGholish, som planterar skadlig kod för att lura användare att tro att deras webbläsare behöver uppdateras. Genom att klicka på uppdateringen kan angriparna fullfölja sina attacker.

– Att utnyttja falska uppdateringar är en välkänd metod för hackare. Det nya är att angriparna kan spåras till Ryssland och riktar sig mot företag och organisationer i Väst som stödjer Ukraina, säger Petter Glenstrup, Nordenchef på Arctic Wolf.

I analysen beskrivs hur en anställd klickade på en falsk webbläsaruppdatering. Popup-fönstret såg legitimt ut men aktiverade skadlig kod som gav angriparna tillgång till systemet. Kort därefter försökte hackarna installera avancerad skadlig kod från den ryskstödda gruppen RomCom.

RomComs skadliga kod aktiveras när den känner igen ett specifikt mål, vilket gör attacker svårt att upptäcka inom större kampanjer. Detta innebär att vad som verkar vara massattacker i själva verket riktar sig mot specifika organisationer.

Den incident som utgör grunden för analysen drabbade ett amerikanskt teknikföretag med nära band till Ukraina. Detta illustrerar hur Ryssland, genom närstående hotaktörer, riktar sig mot organisationer som stödjer Ukraina, vilket även är aktuellt för Norden.

Enligt Petter Glenstrup är detta ett typiskt exempel på hur cyberbrottsligheten uppträder utan gränser idag: – Vi ser ofta att samma verktyg används både vid ekonomiskt motiverade brott och statsstödda attacker. Hotaktörer verkar på en gemensam marknad, vilket gör hotbilden mer komplex.

SocGholish kopplas också till ransomware-attacker. Hackargruppen TA569 agerar som ett digitalt mellanhand och säljer vidare tillgång till hackade system. Det inleds ofta som en