Rosyjski cyberatak na polskie instytucje rządowe. CERT potwierdza
Należy zdawać sobie sprawę, że w związku z napaścią Rosji na Ukrainę znacząco zwiększyła się intensywność ataków na infrastrukturę informatyczną Polski. Hakerzy na zlecenie rządu Federacji Rosyjskiej w zasadzie bezustannie przypuszczają kolejne ataki. Analizę jednej z kampanii opublikował w ostatnim czasie polski CERT.
Rosyjska grupa atakuje Polskę
CERT Polska i CSIRT MON opublikowały analizę techniczną kampanii ataku na polską infrastrukturę rządową. Dokonano nawet atrybucji - za działaniami ma stać grupa APT28, którą z kolei wiąże się z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej znanym lepiej jako GRU.
Wszystko rozpoczęło się od maila, w którym zachęca się do kliknięcia linka. Prowadzi on do serwisu, z którego ofiara jest przekierowywana dalej, oczywiście w celu zapobiegnięcia wykryciu. W końcu rozpoczyna się pobieranie pliku ZIP, który ma jednak rozszerzenie JPG, co ma sprawiać wrażenie, że mamy do czynienia z obrazkiem.
Trojan bankowy atakuje smartfony z Androidem. Mężczyzna stracił 400 tys. złSkrypty zbierają dane o rządowych komputerach
Archiwum składa się z trzech plików. Pierwszy z nich to zmodyfikowany windowsowy kalkulator udający zdjęcie. Po uruchomieniu wyświetla on zdjęcie, ale też wczytuje drugi element, ukrytą bibliotekę przygotowaną przez napastników - zmodyfikowaną WindowsCodecs.dll. Biblioteka uruchamia trzeci składnik archiwum, czyli skrypt BAT.
Skrypt ten otwiera przeglądarkę Edge, która z pozoru wyświetla zdjęcia kobiety, o której mowa w mailu, jednak w tle zakodowana zawartość strony pobiera kolejny skrypt. Ten pobiera kolejny plik, zmienia jego rozszerzenie z JPG na CMD i go wykonuje. Ten powtarza operację z kolejnym skryptem, tym razem w formacie CSS. W tak zawoalowany sposób, którego celem jest maskowanie aktywności, zbierane są informacje na temat zainfekowanej maszyny.
Zalecenia w związku z atakami
Z komputera zbierane są takie dane, jak adres IP oraz lista plików zlokalizowanych w konkretnych folderach. Te są następnie wysyłane na serwer należący do APT28. Mowa więc o działaniach stricte wywiadowczych, które w przyszłości mogą być wykorzystane do identyfikacji celów, ale na tym etapie nie można jeszcze mówić o działaniach stricte powyżej progu agresji.
CERT Polska rzecz jasna nie opublikował informacji o skali ataku, ani o liczbie pracowników administracji rządowej, których komputery zostały zaatakowane z sukcesem. Pojawiły się natomiast zalecenia dla administratorów infrastruktury, na które składa się weryfikacja połączeń z adresami używanymi do maskowania aktywności napastników, filtrowanie ich i ewentualne blokowanie.
