CERT wydał pilne ostrzeżenie. Trwa cyberatak na Polskę

Żółty znak ostrzegawczy z wykrzyknikiem umieszczony na klawiaturze z kartą CERT.PL oznaczoną pieczęcią

CERT Polska poinformował, że w tym tygodniu zarejestrowano niebezpieczną działalność związaną z rozpowszechnieniem szkodliwego oprogramowania wśród różnych rządowych instytucji w Polsce. Zaleca się, aby administratorzy sieci sprawdzili, czy przedsiębiorstwa i ich pracownicy nie padły ofiarą ataku.

Polskie instytucje rządowe celem cyberataku – Spis treści

Grupa APT28 atakuje polskie organizacje

Fot. Obraz wygenerowany za pomocą DALL-E 3

Atak cybernetyczny na polskie instytucje rządowe zorganizowany przez grupę APT28, kojarzoną ze służbami wywiadowczymi Rosji, to kolejny przypadek wykorzystania zaawansowanych technik socjotechnicznych w celu naruszenia bezpieczeństwa państwa.

W odpowiedzi na te zagrożenia, polskie jednostki cyberbezpieczeństwa, takie jak CERT Polska i CSIRT MON, działają wspólnie, opracowując plan pozwalający na szybką reakcję.

Cyberprzestępcy powiązani z rosyjskim wywiadem

Nasz krajowy system cyberbezpieczeństwa stara się zapobiegać tego typu incydentom, oferując jednocześnie niezbędne narzędzia do identyfikacji i neutralizacji ataków. Obejmują one szczegółowe analizy techniczne, które pozwalają na rozpoznanie charakterystycznych cech ataków przypisywanych do grupy APT28.

Fot. Sora Shimazaki / Pexels

Grupa APT28, znana również jako Fancy Bear, Sofacy, Strontium, a także pod wieloma innymi nazwami, to zespół cyberprzestępców, który jest powszechnie kojarzony z rosyjskim wywiadem wojskowym i Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU). Grupa działa od przynajmniej połowy lat 2000. Jest znana z przeprowadzania zaawansowanych ataków (APT – ang. Advanced Persistent Threat) skierowanych przeciwko różnym celom, które są strategicznie ważne dla rosyjskich interesów politycznych i wojskowych.

CERT opisuje, jak przebiega atak

Kampania prowadzona przez grupę APT28 rozpoczyna się od wysłania wiadomości e-mail z zainfekowanym likiem. W tym przypadku URL prowadzi do serwisu run.mocky.io, który jest darmowym narzędziem często używanym przez programistów do symulacji odpowiedzi serwerowych. W opisanym przypadku run.mocky.io służy jedynie jako przystanek na drodze do kolejnego serwisu – webhook.site.

Zainfekowany e-mail wysłany przez grupę ATP28. Fot. CERT Polska / zrzut ekranu

Ostatecznie użytkownik zostaje przekierowany do pobrania archiwum ZIP, którego nazwa sugeruje niegroźną zawartość w postaci zdjęć – plik zaczyna się od skrótu „IMG”. Mimo rozszerzenia typowego dla pików graficznych (jpg) w rzeczywistości archiwum to zawiera trzy pliki, które po uruchomieniu przez ofiarę inicjują wykonanie serii skryptów. Sygnałem ostrzegawczym powinien być dla nas także wskazany przez system operacyjny typ pliku – w tym wypadku identyfikowany jest jako aplikacja, a nie grafika. Działania ataku mają na celu zdobycie informacji o adresie IP urządzenia oraz przeskanowanie zawartości plików na komputerze ofiary, co pozwala sprawcom ocenić, czy cel ataku jest wartościowy.

Przykład pliku ze szkodliwym oprogramowaniem wysłany przez grupę ATP28. Fot. CERT Polska / zrzut ekranu

W obliczu rosnącego zagrożenia CERT Polska przypomina, że istotne jest, aby administratorzy systemów IT w organizacjach rządowych nie tylko śledzili ostrzeżenia wydawane przez jednostki cyberbezpieczeństwa, ale również aktywnie uczestniczyli w analizie i zabezpieczaniu swoich sieci. Edukacja pracowników na temat potencjalnych zagrożeń oraz wdrożenie procedur postępowania w przypadku wykrycia ataku są kluczowe dla zwiększenia ochrony cybernetycznej kraju.

Tymczasem rada dla wszystkich – nie kopiujcie wrażliwych informacji do schowka, ponieważ zwiększa to ryzyko przechwycenia ich przez nieodpowiednie organizacje. Wskazówkę, gdzie jest schowek w telefonie, znajdziecie w innym naszym tekście.

Źródło: CERT Polska, oprac. własne. Zdjęcie otwierające: Madcat_Madlove / Shutterstock / CERT Polska / zrzut ekranu / montaż własny

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł CERT wydał pilne ostrzeżenie. Trwa cyberatak na Polskę pochodzi z serwisu ANDROID.COM.PL – społeczność entuzjastów technologii.