BiznesINFO.pl Technologie Rosyjski cyberatak na polskie instytucje rządowe. CERT potwierdza
Fot. Unsplash/Jaunt and Joy

Rosyjski cyberatak na polskie instytucje rządowe. CERT potwierdza

12 maja 2024
Autor tekstu: Maciej Olanicki

Należy zdawać sobie sprawę, że w związku z napaścią Rosji na Ukrainę znacząco zwiększyła się intensywność ataków na infrastrukturę informatyczną Polski. Hakerzy na zlecenie rządu Federacji Rosyjskiej w zasadzie bezustannie przypuszczają kolejne ataki. Analizę jednej z kampanii opublikował w ostatnim czasie polski CERT.

Rosyjska grupa atakuje Polskę

CERT Polska i CSIRT MON opublikowały analizę techniczną kampanii ataku na polską infrastrukturę rządową. Dokonano nawet atrybucji - za działaniami ma stać grupa APT28 , którą z kolei wiąże się z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej znanym lepiej jako GRU.

Wszystko rozpoczęło się od maila, w którym zachęca się do kliknięcia linka . Prowadzi on do serwisu, z którego ofiara jest przekierowywana dalej, oczywiście w celu zapobiegnięcia wykryciu. W końcu rozpoczyna się pobieranie pliku ZIP, który ma jednak rozszerzenie JPG, co ma sprawiać wrażenie, że mamy do czynienia z obrazkiem.

Trojan bankowy atakuje smartfony z Androidem. Mężczyzna stracił 400 tys. zł

Skrypty zbierają dane o rządowych komputerach

Archiwum składa się z trzech plików. Pierwszy z nich to zmodyfikowany windowsowy kalkulator udający zdjęcie. Po uruchomieniu wyświetla on zdjęcie, ale też wczytuje drugi element, ukrytą bibliotekę przygotowaną przez napastników - zmodyfikowaną WindowsCodecs.dll. Biblioteka uruchamia trzeci składnik archiwum, czyli skrypt BAT.

Skrypt ten otwiera przeglądarkę Edge, która z pozoru wyświetla zdjęcia kobiety, o której mowa w mailu, jednak w tle zakodowana zawartość strony pobiera kolejny skrypt. Ten pobiera kolejny plik, zmienia jego rozszerzenie z JPG na CMD i go wykonuje. Ten powtarza operację z kolejnym skryptem, tym razem w formacie CSS. W tak zawoalowany sposób, którego celem jest maskowanie aktywności, zbierane są informacje na temat zainfekowanej maszyny.

Zalecenia w związku z atakami

Z komputera zbierane są takie dane, jak adres IP oraz lista plików zlokalizowanych w konkretnych folderach . Te są następnie wysyłane na serwer należący do APT28. Mowa więc o działaniach stricte wywiadowczych, które w przyszłości mogą być wykorzystane do identyfikacji celów, ale na tym etapie nie można jeszcze mówić o działaniach stricte powyżej progu agresji.

CERT Polska rzecz jasna nie opublikował informacji o skali ataku , ani o liczbie pracowników administracji rządowej, których komputery zostały zaatakowane z sukcesem. Pojawiły się natomiast zalecenia dla administratorów infrastruktury, na które składa się weryfikacja połączeń z adresami używanymi do maskowania aktywności napastników, filtrowanie ich i ewentualne blokowanie.

Eurowizja 2024. Luna zhakowana. Włamywacz okazał się zaskakująco miły
Ostrzeżenie przed groźnymi stronami. Uwaga na oszustwo
Obserwuj nas w
autor
Maciej Olanicki

Dziennikarz biznesinfo.pl. W przeszłości redaktor prowadzący dobreprogramy.pl, miesięcznika „IT Professional”, współpracownik Wirtualnej Polski. Adres dla sygnalistów: olanicki@protonmail.com.
 

Chcesz się ze mną skontaktować? Napisz adresowaną do mnie wiadomość na mail: Dariusz.dziduch@iberion.pl
biznes finanse technologie praca handel Eko Energetyka polska i świat