Koordynująca polski internet Naukowa i Akademicka Sieć Komputerowa wydała komunikat dotyczący odparcia cyberataku rosyjskiego na Polskę.
– Szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe było w tym tygodniu dystrybuowane przez grupę APT28, wiązaną ze służbami wywiadowczymi Rosji. Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON. CERT Polska ostrzega i zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy nie byli obiektem opisanego poniżej ataku – czytamy.
CERT działa w strukturze NASK i służy rozpoznawaniu i reagowaniu na reakcje kryzysowe. CSIRT MON to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej, funkcjonujący w ramach Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni.
– Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności – powiedział Sebastian Kondraszuk, kierujący zespołem CERT Polska, działającym w NASK.
W komunikacie NASK czytamy, że wskaźniki techniczne i podobieństwa do opisywanych w przeszłości ataków pozwoliły na identyfikację grupy APT28, stojącej za opisanymi niżej aktywnościami.
Jak informije NASK, Grupa ta jest kojarzona z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (zwanym potocznie GRU).
– Pierwszy element kampanii prowadzonej przez APT28 to wysyłka wiadomości e-mail. Jej treść wykorzystuje elementy socjotechniki, które mają wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia w link. Link kieruje do adresu w domenie run.mocky.io – to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany tylko do przekierowania na kolejny serwis – webhook.site. To również popularny adres wśród osób związanych z IT. Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji. To trend, który obserwujemy u wielu grup APT – ostrzega NASK.
Jak czytamy, archiwum zawiera trzy pliki i „gdy ofiara uruchomi plik (widoczny na zrzucie ekranowym), wykonywana jest seria skryptów, które mają na celu poznanie adresu IP urządzenia ofiary i listy plików”. To, jak wyjaśnia NASK, pozwala ocenić, czy wybrany cel jest dla atakujących atrakcyjny.
– Jeśli okaże się interesujący, mają oni możliwość wykonania na komputerze ofiary dodatkowych, dowolnych działań. Atakowany nie ma świadomości, co dzieje się z jego urządzeniem, ponieważ jednocześnie w przeglądarce wyświetlane są zdjęcia kobiety w bieliźnie, co ma uwiarygodnić narrację przesłaną przez atakujących w e-mailu.
NASK i CERT Polska ostrzegają dalej, że podstawowym celem tego komunikatu jest zakłócenie wrogich działań i umożliwienie wykrycia oraz analizy opisywanych działań. Rekomenduje więc weryfikację przez administratorów sieci, czy pracownicy organizacji nie byli obiektem opisywanego ataku.
Rekomenduje również, że jeśli istnieje podejrzenie infekcji szkodliwym oprogramowaniem, kluczowe jest odłączenie urządzenia od sieci i niezwłoczny kontakt z właściwym zespołem CSIRT.
Szczegółowe wskazówki w tym zakresie znajdują się w publikacji na stronie cert.pl.
MaH/belsat.eu wg nask.pl, cert.pl, csirt-mon.wp.mil.pl
