Polskie instytucje rządowe były celem groźnego ataku grupy APT28, związanej ze służbami wywiadowczymi Rosji. CERT Polska zaleca administratorom sieci weryfikację, czy pracownicy organizacji nie byli obiektem ataku.
Wroga działalność została zidentyfikowana przez ekspertów z CERT Polska z NASK oraz CSIRT MON. Na podstawie podobieństw do wcześniejszych ataków, eksperci powiązali atak z grupą APT28, kojarzoną z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności
Dalsza część artykułu pod materiałem wideo
Sprytny atak rosyjskich służb
Do ataku wykorzystano wiadomości e-mail, które miały nakłonić odbiorcę do kliknięcia w link. Poniżej znajduje się przykład użytej wiadomości:
Link z wiadomości e-mail kierował do adresu w domenie run.mocky.io, a następnie przekierowywał do kolejnego serwisu - webhook.site. Obydwie domeny są popularne wśród programistów i osób związanych z IT. Taki mechanizm pozwala na zmniejszenie szans na odkrycie podstępu, a jednocześnie obniża koszt prowadzonej operacji.
Atakujący byli wyjątkowo sprytni. Z serwisu webhook.site pobierane było archiwum ZIP, którego nazwa mogła sugerować zawartość w postaci zdjęć. W rzeczywistości archiwum zawierało trzy pliki.
Uruchomienie pliku zaczynającego się od "IMG" uruchamiało serię skryptów, które miały rozpoznać adres IP urządzenia ofiary i listę plików - pozwalało to ocenić, czy wybrany cel jest atrakcyjny dla atakujących. W przypadku zainteresowania celem, atakujący mieli możliwość wykonywania na komputerze ofiary dowolnych działań.
Osoba atakowana nie zdawała sobie sprawy z zagrożenia, bo równocześnie w przeglądarce wyświetlane były zdjęcia kobiety w bieliźnie (na co sugerował wysyłany email).
CERT Polska ostrzega organizacje
CERT Polska zaleca, aby administratorzy sieci sprawdzili, czy pracownicy ich organizacji nie padli ofiarą wspomnianego ataku. W przypadku podejrzenia, że urządzenie zostało zainfekowane przez szkodliwe oprogramowanie, niezbędne jest natychmiastowe odłączenie go od sieci oraz szybki kontakt z odpowiednim zespołem CSIRT. Szczegóły ataku opisano w poradniku na stronie CERT.
Paweł Maziarz, dziennikarz dobreprogramy.pl
