Dosłownie cztery dni temu pisaliśmy, iż Polska znalazła się na celowniku rosyjskich hakerów, co wywołało natychmiastową reakcję Ministerstwa Spraw Zagranicznych. Jak się okazuje, służby wywiadowcze z grupy APT28, finansowanej przez rosyjski rząd, faktycznie zaatakowały. Jak podaje CERT Polska celem ataku padły polskie instytucje rządowe. Zespół CERT Polska ostrzega administratorów sieci, a my temu wtórujemy.
CERT Polska ostrzega przed rosyjskimi hakerami
CERT Polska poinformowało, iż grupa APT28 (Advanced Persistent Threat 28) zaatakowała polskie instytucje rządowe. Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON. Administratorzy sieci w organizacjach zostali wezwani do pilnego zweryfikowania tego, czy pracownicy nie byli obiektem ataku.
Atak APT28 na polskie instytucje rządowe składał się z kilku elementów. Na początku APT28 wysłało wiadomości e-mail zawierające socjotechniczne sztuczki nakłaniające do kliknięcia w odnośnik. Ten kierował do adresu w domenie darmowego serwisu dla programistów run.mocky.io. Tam następowało przekierowanie na serwis webhook.site.
Mail od nadawcy, którego imię i nazwisko zapisane jest cyrylicą powinien z miejsca wyglądać podejrzanie, ale znając życie ktoś dał się nabrać.
Źródło: CERT PolskaW serwisie webhook.site następowało pobranie archiwum ZIP, gdzie rzekomo tylko znajdowały się zdjęcia. W istocie była to aplikacja wykonująca serię skryptów. Ten z kolei wysyła oszustom adres IP ofiary i listę plików, pozwalającą ocenić, czy jest to dobry cel do ataku. jeżeli hakerzy z APT28 postanowią zaatakować osobę, która uruchomiła aplikację, mają w tym zakresie wolną rękę.
Źródło: CERT PolskaAtakowany nie ma świadomości, co dzieje się z jego urządzeniem, ponieważ jednocześnie w przeglądarce wyświetlane są zdjęcia kobiety w bieliźnie, co ma uwiarygodnić narrację przesłaną przez atakujących w e-mailu
– czytamy w komunikacie.
Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności
– mówi Sebastian Kondraszuk, kierujący zespołem CERT Polska, działającym w NASK.
Uważajcie.
