NASK poinformował o złośliwym oprogramowaniu, które było w tym tygodniu dystrybuowane przez wiązaną ze służbami wywiadowczymi Rosji grupą APT28. Atak był wymierzony w polskie instytucje rządowe.
Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności.
– powiedział Sebastian Kondraszuk, CERT Polska, NASK
CERT Polska poinformował, że wskaźniki techniczne i podobieństwa do opisywanych w przeszłości ataków pozwoliły na identyfikację grupy APT28, stojącej za najnowszymi działaniami. Grupa ta jest kojarzona z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Atak hakerów z grupy APT28 rozpoczął się od wysyłki wiadomości e-mail. W jej treści wykorzystano elementy socjotechniki, mające wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia w link. Ten kieruje do adresu w domenie run.mocky.io, czyli darmowego serwisu używanego przez programistów. W tym przypadku został on jednak wykorzystany tylko do przekierowania na kolejny serwis – webhook.site. To również popularny adres wśród osób związanych z IT. Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji. To trend obserwany u wielu grup APT.
Kolejny etap to pobranie z serwisu webhook.site archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć. W rzeczywistości archiwum zawiera trzy pliki. Gdy ofiara uruchomi plik (widoczny na zrzucie ekranu poniżej), wykonywana jest seria skryptów, które mają na celu poznanie adresu IP urządzenia ofiary i listy plików. Pozwala to ocenić, czy wybrany cel jest dla atakujących atrakcyjny. Jeśli okaże się interesujący, mają oni możliwość wykonania na komputerze ofiary dodatkowych, dowolnych działań.
Atakowany nie ma świadomości, co dzieje się z jego urządzeniem, ponieważ jednocześnie w przeglądarce wyświetlane są zdjęcia kobiety w bieliźnie. Ma to uwiarygodnić narrację przesłaną przez atakujących w e-mailu.
Podstawowym celem komunikatu CERT Polska jest zakłócenie wrogich działań i umożliwienie wykrycia oraz analizy opisywanych działań. Eksperci od cyberbezpieczeństwa rekomendują weryfikację przez administratorów sieci, czy pracownicy organizacji nie byli obiektem opisywanego ataku. Dodatkowe szczegóły można znaleźć pod tym adresem.
Jeśli istnieje podejrzenie infekcji szkodliwym oprogramowaniem, kluczowe jest odłączenie urządzenia od sieci i niezwłoczny kontakt z właściwym zespołem CSIRT.
Zobacz: Zakazane słowa w rozmowie telefonicznej. Gdy usłyszysz, rzuć słuchawką
Zobacz: Korzystasz z Blika? Rządowa agencja wydała pilne ostrzeżenie
Źródło zdjęć: Shutterstock, NASK
Źródło tekstu: NASK
