Nakon što je Microsoft objavio hitnu zakrpu za kritični propust u svom softveru, ruski hakeri su u rekordnom roku od samo nekoliko dana uspjeli da iskoriste tu ranjivost. Kako se saznaje, ciljani napadi već su zabilježeni na vladine institucije u nekoliko evropskih zemalja, uključujući Ukrajinu, Slovačku i Rumuniju.

Metode napada

Napadi započinju phishing porukama koje naizgled dolaze od zvaničnih državnih institucija, poput meteoroloških zavoda. Poruke sadrže prilog u RTF formatu, a čim korisnik otvori dokument, aktivira se propust koji omogućava hakerima da zaobiđu sigurnosne filtere. Nakon toga na sistem se instaliraju dva opasna alata: MiniDoor, koji je specijalizovan za krađu elektronske pošte i fajlova, te PixyNetLoader, koji služi kao ulazna kapija za dodatni špijunski softver.

Iza napada stoji APT28

Stručnjaci za sajber sigurnost povezuju ovu kampanju sa grupom APT28, poznatom i kao Fancy Bear. Ono što ovaj slučaj izdvaja je neverovatna brzina reakcije napadača. Microsoft je zakrpu objavio 26. januara, a već 29. januara zabilježeni su prvi napadi koji koriste upravo tu ranjivost. Analitičari ističu da je grupa modifikovala svoje metode u roku od samo 24 sata od objavljivanja tehničkih detalja o propustu.

Iako je glavni fokus bio na Ukrajini, ukrajinski tim za hitne slučajeve upozorio je da su slični napadi primećeni i u susjednim zemljama. Poruke su pažljivo lokalizovane i napisane na jezicima ciljanih država kako bi se smanjila sumnja kod korisnika. Savjet sigurnosnih stručnjaka je jasan: korisnici Microsoft Office-a ili Microsoft 365 moraju obavezno provjeriti da li im je instalirano najnovije ažuriranje od kraja januara, jer ovaj propust ne zahtijeva složenu interakciju korisnika.