Przejdź na

Ważny komunikat CERT Polska. Ostrzeżenie o ataku

Polskie instytucje rządowe były celem groźnego ataku grupy APT28, związanej ze służbami wywiadowczymi Rosji. CERT Polska zaleca administratorom sieci weryfikację, czy pracownicy organizacji nie byli obiektem ataku.

CERT Polska alarmuje o groźnym ataku grupy APT28CERT Polska alarmuje o groźnym ataku grupy APT28
Źródło zdjęć: © Adobe Stock | TippaPatt
Paweł Maziarz
Paweł Maziarz

Wroga działalność została zidentyfikowana przez ekspertów z CERT Polska z NASK oraz CSIRT MON. Na podstawie podobieństw do wcześniejszych ataków, eksperci powiązali atak z grupą APT28, kojarzoną z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).


Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności

Sebastian Kondraszuk
kierujący zespołem CERT Polska, działającym w NASK

Dalsza część artykułu pod materiałem wideo

Microsoft udaremnia rosyjski cyberatak. Przejął siedem domen
Microsoft udaremnia rosyjski cyberatak. Przejął siedem domen

Sprytny atak rosyjskich służb

Do ataku wykorzystano wiadomości e-mail, które miały nakłonić odbiorcę do kliknięcia w link. Poniżej znajduje się przykład użytej wiadomości:

W kampani wysyłano wiadomości e-mail o treści, która miała nakłaniać do kliknięcia w link
W kampani wysyłano wiadomości e-mail o treści, która miała nakłaniać do kliknięcia w link © CERT Polska

Link z wiadomości e-mail kierował do adresu w domenie run.mocky.io, a następnie przekierowywał do kolejnego serwisu - webhook.site. Obydwie domeny są popularne wśród programistów i osób związanych z IT. Taki mechanizm pozwala na zmniejszenie szans na odkrycie podstępu, a jednocześnie obniża koszt prowadzonej operacji.

Atakujący byli wyjątkowo sprytni. Z serwisu webhook.site pobierane było archiwum ZIP, którego nazwa mogła sugerować zawartość w postaci zdjęć. W rzeczywistości archiwum zawierało trzy pliki.

W archiwum znalazły się trzy pliki, ale przy domyślnych ustawieniach systemu Windows widoczny był tylko jeden plik
W archiwum znalazły się trzy pliki, ale przy domyślnych ustawieniach systemu Windows widoczny był tylko jeden plik © CERT Polska

Uruchomienie pliku zaczynającego się od "IMG" uruchamiało serię skryptów, które miały rozpoznać adres IP urządzenia ofiary i listę plików - pozwalało to ocenić, czy wybrany cel jest atrakcyjny dla atakujących. W przypadku zainteresowania celem, atakujący mieli możliwość wykonywania na komputerze ofiary dowolnych działań.

Osoba atakowana nie zdawała sobie sprawy z zagrożenia, bo równocześnie w przeglądarce wyświetlane były zdjęcia kobiety w bieliźnie (na co sugerował wysyłany email).

Google ostrzega. 14 tysięcy użytkowników Gmaila jest zagrożonych
Google ostrzega. 14 tysięcy użytkowników Gmaila jest zagrożonych

CERT Polska ostrzega organizacje

CERT Polska zaleca, aby administratorzy sieci sprawdzili, czy pracownicy ich organizacji nie padli ofiarą wspomnianego ataku. W przypadku podejrzenia, że urządzenie zostało zainfekowane przez szkodliwe oprogramowanie, niezbędne jest natychmiastowe odłączenie go od sieci oraz szybki kontakt z odpowiednim zespołem CSIRT. Szczegóły ataku opisano w poradniku na stronie CERT.

Paweł Maziarz, dziennikarz dobreprogramy.pl

Wybrane dla Ciebie
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zagrożenia w sieci. Na nie narażone są dzieci
Zagrożenia w sieci. Na nie narażone są dzieci
Sextortion: na czym polega internetowy szantaż?
Sextortion: na czym polega internetowy szantaż?
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀