Pilne ostrzeżenie. Polskie instytucje celem rosyjskiego wywiadu

Jak czytamy w pilnym komunikacie CERT Polska, w tym tygodniu szkodliwe oprogramowanie było dystrybuowane przez grupę APT28, która jest utożsamiana z rosyjskim wywiadem (Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej - GRU).

Przebieg ataku

Przed wrogą działalnością APT28 ostrzega CERT Polska wraz z CSIRT MON, czyli wojskowym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego. Wśród zaleceń znalazła się wskazówka, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy nie byli obiektem opisanego ataku.

„Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności” – komentuje Sebastian Kondraszuk, kierujący zespołem CERT Polska, działającym w NASK.

Eksperci - na podstawie wskaźników technicznych - atak utożsamiają z grupą APT28. Jej działanie tym razem polega na wysyłce wiadomości mailowych, które - bazując na socjotechnice - ma zainteresować odbiorcę i skłonić go do kliknięcia w link.

Link z kolei kieruje do adresu w domenie run.mocky.io, darmowego serwisu, używanego przez programistów. Dalej przekierowuje na kolejny serwis - webhook.site, popularnego serwisu dla osób związanych z IT.

„Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji. To trend, który obserwujemy u wielu grup APT” - wskazuje CERT Polska.

Z serwisu webhook.site zostaje pobrane archiwum ZIP, zaczynające się od skrótu „IMG”.

Archiwum zawiera trzy pliki, a po ich uruchomieniu wykonywana jest seria skryptów, których celem jest poznanie adresu IP urządzenia ofiary i listy plików. W ten sposób atakujący oceniają czy ich cel jest dla nich „atrakcyjny”. Wtedy atakujący mogą wykonać na komputerze ofiary dowolne działania - bez jej wiedzy. W tym czasie w przeglądarce wyświetlane są… zdjęcia kobiety w bieliźnie. Zdaniem ekspertów ma to uwiarygodnić narrację przesłaną przez atakujących w e-mailu.

CERT Polska pilnie ostrzega

CERT Polska rekomenduje weryfikację przez administratorów sieci, czy pracownicy organizacji nie byli obiektem opisywanego ataku.

„Jeśli istnieje podejrzenie infekcji szkodliwym oprogramowaniem, kluczowe jest odłączenie urządzenia od sieci i niezwłoczny kontakt z właściwym zespołem CSIRT” - czytamy w pilnym ostrzeżeniu.

Szczegóły kampanii oraz wskazówki można przeczytać w tym materiale CERT Polska.

APT28 - Polska od dawna na celowniku

Grupa APT28 znana także jako Fancy Bear od dawna atakuje Polskę. O jej szczegółowych działaniach piszemy regularnie na łamach CyberDefence24.pl. O dotychczasowych operacjach możecie przeczytać tutaj.

Cyberprzestępcy kontrolowani przez specsłużby Kremla regularnie prowadzą wrogie działania wymierzone nie tylko w nasz kraj, ale również Ukrainę oraz państwa NATO.

Zimna wojna w cyberprzestrzeni?

Przypomnijmy, że zaledwie w kwietniu br. wicepremier i minister cyfryzacji Krzysztof Gawkowski ocenił, że mamy „zimną wojnę w cyberprzestrzeni” i jednocześnie jako wroga Polski - obok Białorusi - wskazał na Rosję.

„Nie wiem, czy jesteśmy w stanie cyberwojny, ale można powiedzieć, że mamy cyber zimną wojnę. Mamy nieprawdopodobny wyścig zbrojeń, coraz więcej elementów wpływających na to, że rosną zasoby ludzkie atakujące Polskę, takie jak grupy APT; rosną też zagrożenia. Jeśli do tego dołożymy czynnik trwającej wojny w Ukrainie, to jestem przekonany, że nazwałbym to działaniami zimnowojennymi” - mówił w czasie konferencji Secure2024.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].