En rysk hackargrupp utnyttjar falska uppgraderingar av webbläsare för att sprida skadlig kod till andra länder som stöder Ukraina. Fallet visar hur cyberbrottsligheten blivit gränslös – samma metod används också för ransomware-attacker.

Hackargrupper med kopplingar till Ryssland utnyttjar vanliga, legitima webbsajter för att sprida avancerad skadlig kod till företag i Väst som samarbetar med och ger bistånd till Ukraina. En färsk analys från cybersäkerhetsföretaget Arctic Wolf har identifierat en del av den ryska militära underrättelsetjänsten GRU som sannolikt ytterst ansvarig för attackerna.

Analysen avslöjar hur de aktuella attackerna mot ukrainska intressen är en ny variant på en välkänd attackmetod, SocGholish. Den bygger på att plantera skadlig kod på webbsajter för att lura besökarna att tro att deras webbläsare behöver uppdateras. Genom att klicka på uppdateringen öppnas möjligheten för angriparna att fortsätta attacken. Användare som bara försöker göra rätt genom att hålla sin programvara uppdaterad riskerar då att omedvetet initiera en stor cyberattack.

– Att utnyttja falska uppdateringar är en välkänd metod för hackare. Det nya är att angriparna den här gången kan spåras till Ryssland och att de riktar sig mot enskilda företag och organisationer i Väst som på olika sätt ger stöd till Ukraina, säger Petter Glenstrup, Nordenchef på Arctic Wolf.

I Arctic Wolfs analys beskrivs en incident där en anställd klickade på en falsk webbläsaruppdatering på en angripen webbplats. Popup-fönstret för nedladdning såg ut som vanligt, men aktiverade skadlig programvara som omedelbart gav angriparna tillgång till systemet. Kort därpå försökte hackarna installera avancerad skadlig kod från den ryskstödda gruppen RomCom, något som inte tidigare har observerats tillsammans med SocGholish.

RomCom-gruppens skadliga kod aktiveras först när den har känt igen ett specifikt mål. På så vis är det möjligt att dölja snävt riktade attacker inom breda, globala kampanjer. Det som på ytan ser ut som en massattack handlar i praktiken bara om hot mot utvalda organisationer.

Den incident som ligger till grund för analysen drabbade ett amerikanskt teknikföretag som tidigare arbetat med en stad med nära band till Ukraina. Händelsen illustrerar en tydlig trend: Ryssland, genom närstående hotaktörer, riktar in sig på organisationer som direkt eller indirekt arbetar till stöd för Ukraina. Detta gör hotet också högst relevant för Norden, där många företag, myndigheter och intresseorganisationer sedan 2022 ger aktivt bistånd till Ukraina.

Enligt Petter Glenstrup är det aktuella fallet ett typiskt exempel på hur gränslöst cyberbrottsligheten uppträder i dag:

 – Vi ser ofta att det är samma verktyg och tillvägagångssätt som används både vid cyberbrott som är ekonomiskt motiverade och statsstödda attacker. Hotaktörerna verkar på en gemensam ”marknad”, även om de har helt olika syften. Det gör hotbilden både mer komplex och svårare att förutse.

SocGholish förknippas också med utpressningsattacker, ransomware. Hackargruppen som ligger bakom SocGholish – kallad TA569 – agerar som en slags digital mellanhand som säljer vidare åtkomst till hackade system till cyberkriminella eller statsstödda aktörer. Det börjar oftast som en “opportunistisk” attack som inte får några större direkta följder, men måste betraktas som en varningssignal om något större och allvarligare.

 – Den som upptäcker ett intrång av SocGholish bör agera som om man befinner sig i ett tidigt skede av en ransomware-attack – det vill säga snabbt. Genom att begränsa spridningen i ett tidigt skede kan man förhindra att det utvecklas till en fullbordad attack, avslutar Petter Glenstrup. 

Tips: Så skyddar ni er mot falska uppdateringar

Arctic Wolf följer upp sin analys med förslag på några konkreta åtgärder som kan förebygga attacker genom SocGholish och liknande cyberhot:

Begränsa möjligheterna till programuppdateringar. Installationen ska alltid ske genom centrala kanaler och från godkända källor – aldrig via ett webbläsarfönster.

Övervaka misstänkt aktivitet på klienter, bland annat för att upptäcka avvikande nätverksuppkoppling och automatiserad skriptkörning.

Använd en modern lösning för skydd av slutpunkter för att upptäcka och stoppa försök att installera dold skadlig kod.

Inför tydliga rutiner för hur uppdateringsmeddelanden ska hanteras.

Utbilda och informera användarna löpande så att de lär sig känna igen falska uppdateringar och manipulerade webbsajter.

Hela analysen finns att läsa här.