Ważny komunikat CERT Polska. Ostrzeżenie o ataku

Polskie instytucje rządowe były celem groźnego ataku grupy APT28, związanej ze służbami wywiadowczymi Rosji. CERT Polska zaleca administratorom sieci weryfikację, czy pracownicy organizacji nie byli obiektem ataku.

CERT Polska alarmuje o groźnym ataku grupy APT28
CERT Polska alarmuje o groźnym ataku grupy APT28
Źródło zdjęć: © Adobe Stock | TippaPatt
Paweł Maziarz

Wroga działalność została zidentyfikowana przez ekspertów z CERT Polska z NASK oraz CSIRT MON. Na podstawie podobieństw do wcześniejszych ataków, eksperci powiązali atak z grupą APT28, kojarzoną z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).


Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności

Sebastian Kondraszukkierujący zespołem CERT Polska, działającym w NASK

Dalsza część artykułu pod materiałem wideo

Sprytny atak rosyjskich służb

Do ataku wykorzystano wiadomości e-mail, które miały nakłonić odbiorcę do kliknięcia w link. Poniżej znajduje się przykład użytej wiadomości:

W kampani wysyłano wiadomości e-mail o treści, która miała nakłaniać do kliknięcia w link
W kampani wysyłano wiadomości e-mail o treści, która miała nakłaniać do kliknięcia w link© CERT Polska

Link z wiadomości e-mail kierował do adresu w domenie run.mocky.io, a następnie przekierowywał do kolejnego serwisu - webhook.site. Obydwie domeny są popularne wśród programistów i osób związanych z IT. Taki mechanizm pozwala na zmniejszenie szans na odkrycie podstępu, a jednocześnie obniża koszt prowadzonej operacji.

Atakujący byli wyjątkowo sprytni. Z serwisu webhook.site pobierane było archiwum ZIP, którego nazwa mogła sugerować zawartość w postaci zdjęć. W rzeczywistości archiwum zawierało trzy pliki.

W archiwum znalazły się trzy pliki, ale przy domyślnych ustawieniach systemu Windows widoczny był tylko jeden plik
W archiwum znalazły się trzy pliki, ale przy domyślnych ustawieniach systemu Windows widoczny był tylko jeden plik© CERT Polska

Uruchomienie pliku zaczynającego się od "IMG" uruchamiało serię skryptów, które miały rozpoznać adres IP urządzenia ofiary i listę plików - pozwalało to ocenić, czy wybrany cel jest atrakcyjny dla atakujących. W przypadku zainteresowania celem, atakujący mieli możliwość wykonywania na komputerze ofiary dowolnych działań.

Osoba atakowana nie zdawała sobie sprawy z zagrożenia, bo równocześnie w przeglądarce wyświetlane były zdjęcia kobiety w bieliźnie (na co sugerował wysyłany email).

CERT Polska ostrzega organizacje

CERT Polska zaleca, aby administratorzy sieci sprawdzili, czy pracownicy ich organizacji nie padli ofiarą wspomnianego ataku. W przypadku podejrzenia, że urządzenie zostało zainfekowane przez szkodliwe oprogramowanie, niezbędne jest natychmiastowe odłączenie go od sieci oraz szybki kontakt z odpowiednim zespołem CSIRT. Szczegóły ataku opisano w poradniku na stronie CERT.

Paweł Maziarz, dziennikarz dobreprogramy.pl

Programy

Zobacz więcej
bezpieczeństwointernetoszustwo

Wybrane dla Ciebie

Komentarze (12)