Polska podaje więcej szczegółów ataków rządowych APT28
Polska podaje więcej szczegółów ataków rządowych APT28
Polska skrytykowała sponsorowanych przez państwo rosyjskich hakerów, twierdząc, że w ramach dużej kampanii phishingowej zaatakowali szereg sieci rządowych.
Według polskiego Państwowego Instytutu Badawczego (NASK) rosyjska grupa terrorystyczna APT28, powiązana z GRU, rosyjskim wywiadem wojskowym, przeprowadziła ataki na szereg polskich instytucji rządowych.
Na początku tygodnia Polska po raz pierwszy ogłosiła, że stała się celem ataku APT28, i wyraziła swoje wsparcie dla Niemiec i Czech, które również powołały się na tę grupę zagrożenia.
„Polska, która jest także jednym z celów ataków APT28, zdecydowanie potępia powtarzające się, niedopuszczalne i szkodliwe działania prowadzone w cyberprzestrzeni przez rosyjskie podmioty” – stwierdziła Polska w oświadczeniu.
„W obliczu ciągłego wzrostu zagrożeń w cyberprzestrzeni Polska aktywnie działa na rzecz ochrony infrastruktury krytycznej, budowania odporności i wzmacniania cyberobrony”.
Na razie jednak Polska nie podała szczegółów ataku.
Chociaż najnowsze komentarze nie potwierdzają, że jest to rzeczywiście ten sam atak, zwłaszcza że ataki na Niemcy i Czechy miały miejsce wiele lat temu, polski NASK podał, że w tym tygodniu APT28 podjął próbę dystrybucji szkodliwego oprogramowania w sieciach polskiego rządu.
„Szkodliwe oprogramowanie atakujące polskie instytucje rządowe zostało w tym tygodniu rozesłane przez grupę APT28 powiązaną z rosyjskimi służbami wywiadowczymi” – podał NASK w oświadczeniu.
„Wskaźniki techniczne i podobieństwa do poprzednich ataków pozwoliły na identyfikację grupy APT28… Grupa ta jest powiązana z Głównym Zarządem Wywiadu Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU)”.
Z innych raportów polskiego zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT MON) i polskiego zespołu reagowania na awarie komputerowe (CERT Polska) wynika, że szkodliwe oprogramowanie było dostarczane poprzez e-maile phishingowe, które obiecywały dodatkowe informacje na temat „tajemniczej Ukrainki”, która sprzedaje „używaną bieliznę” „Władze wyższego szczebla w Polsce i na Ukrainie”, jak podaje Błyszczący Komputer.
Odbiorcy wiadomości e-mail, którzy kliknęli łącze, zostali przekierowani przez wiele witryn przed pobraniem archiwum ZIP zamaskowanego jako obraz JPG.
W archiwum znajduje się biblioteka DLL i skrypt .BAT, które uruchamiają się po otwarciu pliku. Obraz zdjęcia w kostiumie kąpielowym jest wyświetlany w przeglądarce Microsoft Edge, aby odwrócić uwagę odbiorcy podczas działania pliku.
CERT Polska twierdzi, że skrypt uruchamiający zbiera informacje o komputerze, takie jak lista wybranych plików i adresy IP, które następnie przesyłane są do serwera C2.
„Prawdopodobnie komputery wybranych przez atakujących ofiar otrzymują inny zestaw skryptów punktów końcowych” – stwierdził CERT Polska.
Daniela Crofta
Urodzony w sercu zachodniego Sydney Daniel Croft jest dziennikarzem z pasją, który rozumie i ma doświadczenie w pisaniu w przestrzeni technologicznej. Po studiach na Macquarie University dołączył do Momentum Media w 2022 r., pisząc w wielu publikacjach, w tym Australian Aviation, Cyber Security Connect i Defense Connect. Poza pisaniem Daniel żywo interesuje się muzyką i spędza czas grając w zespołach w całym Sydney.