Hakerzy uderzają w polskie instytucje rządowe. Ostrzeżenie CERT

Zespoły CERT Polska (CSIRT NASK) oraz CSIRT MON zaobserwowały w tym tygodniu szeroko zakrojoną kampanię szkodliwego oprogramowania wymierzoną w polskie instytucje rządowe. Na podstawie wskaźników technicznych i podobieństwa do ataków opisywanych w przeszłości (m.in. na podmioty ukraińskie) można powiązać kampanię ze zbiorem aktywności APT28, który jest kojarzony z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).

Atak wykorzystuje stare i sprawdzone metody wysyłania wiadomości e-mail z linkiem, który prowadzi do pliku zip mającego zawierać ważne informacje związane z przedmiotem prowadzonych przez instytucje rządowe działań. Jak czytamy na stronach CERT Polska, link kieruje do adresu w domenie run.mocky.io. Jak tłumaczy CERT, ma to być darmowy serwis używany przez programistów do tworzenia i testowania interfejsów API. Tutaj jednak został wykorzystany wyłącznie do przekierowana na zewnętrzny serwer w domenie webhook.site. Ten pozwala na logowanie wszelkich zapytań do wygenerowanego adresu oraz konfigurowanie odpowiedzi na nie.

Cyberatak na polskie instytucje. CERT ostrzega przed fałszywymi wiadomościami

Serwis ten również jest popularny wśród osób związanych z IT. Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji. Jest to trend, który obserwujemy u wielu grup APT.

To w właśnie z niego na komputer pobierany jest plik zip. I choć z pozoru wydaje się, że jego zawartość to jedynie plik graficzny, szybko okazuje się, że tak nie jest. W rzeczywistości pobrane archiwum zawiera trzy pliki:

• kalkulator windowsowy ze zmienioną nazwą, np. IMG-238279780.jpg.exe, który udaje zdjęcie i zachęca ofiarę do kliknięcia
• skrypt .bat (plik ukryty)
• fałszywą bibliotekę WindowsCodecs.dll (plik ukryty)

Uruchomienie złośliwego oprogramowania może wywoływać różne skutki. CERT opisuje, że uruchamiany skrypt zbiera wyłącznie informacje o komputerze (adres IP oraz lista plików w wybranych folderach), a następnie przesyła je na zewnętrzne serwery. Zespół zwraca jednak uwagę, że komputery użytkowników, którzy zostali obrani za cel ataku mogą otrzymywać inny zestaw skryptów, które mogą odczytywać więcej informacji z komputera i przesyłać je dalej. Szczegółowe informacje na temat ataku można znaleźć na stronach CERT.

CERT publikuje rekomendacje i przestrzega przed próbami ataku

Jak informuje CERT informacje o atakach mają na celi zakłócenie wrogich aktywności i umożliwienie wykrycia oraz analizy opisywanych działań. Administratorzy sieci powinni teraz sprawdzić czy pracownicy różnych organizacji rządowych nie byli obiektem ataku. CERT przedstawia kilka wytycznych i rekomendacji, którymi powinno się kierować:

Czytaj dalej poniżej

Awaria, czy atak hakerski? Dziwne zachowanie urządzeń Apple Patryk Koncewicz

Oto, dlaczego płacenie okupu hakerom jest złym pomysłem Krzysztof Rojek

• Zalecamy weryfikację odnotowanych w ostatnim czasie połączeń do domen webhook.site oraz run.mocky.io oraz ich obecności w otrzymywanych wiadomościach e-mail. Podkreślamy jednocześnie, że są to serwisy powszechnie wykorzystywane przez programistów i ruch do nich nie musi oznaczać infekcji.
• Jeśli organizacja nie korzysta z wymienionych serwisów, zalecamy rozważenie blokady wyżej wymienionych domen na urządzeniach brzegowych.
• Niezależnie od tego, czy korzystają Państwo z ww. serwisów, zalecamy również filtrowanie e-maili pod kątem linków w domenach webhook.site oraz run.mocky.io, ponieważ przypadki ich prawidłowego użycia w treści e-maila są bardzo rzadkie.
• Jeśli istnieje podejrzenie infekcji szkodliwym oprogramowaniem, rekomendujemy odłączenie urządzenia od sieci (zarówno przewodowej, jak i bezprzewodowej) oraz niezwłoczny kontakt z właściwym zespołem CSIRT.
  • CSIRT GOV – centralna administracja rządowa i infrastruktura krytyczna,
  • CSIRT MON – instytucje wojskowe,
  • CSIRT NASK – wszystkie pozostałe.

Stock image from Depositphotos