AktualnośćPolskie instytucje rządowe celem APT28
Szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe było w tym tygodniu dystrybuowane przez grupę APT28, wiązaną ze służbami wywiadowczymi Rosji. Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON. CERT Polska ostrzega i zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy nie byli obiektem opisanego poniżej ataku.
Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności –powiedział Sebastian Kondraszuk, kierujący zespołem CERT Polska, działającym w NASK.
Jak wyglądał atak – analiza techniczna
Wskaźniki techniczne i podobieństwa do opisywanych w przeszłości ataków pozwoliły na identyfikację grupy APT28, stojącej za opisanymi niżej aktywnościami. Grupa ta jest kojarzona z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Pierwszy element kampanii prowadzonej przez APT28 to wysyłka wiadomości e-mail. Jej treść wykorzystuje elementy socjotechniki, które mają wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia w link.
Link kieruje do adresu w domenie run.mocky.io – to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany tylko do przekierowania na kolejny serwis – webhook.site. To również popularny adres wśród osób związanych z IT. Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji. To trend, który obserwujemy u wielu grup APT.
Z serwisu webhook.site zostaje ostatecznie pobrane archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć, bo zaczyna się od skrótu „IMG”.
Tak naprawdę archiwum zawiera trzy pliki. Gdy ofiara uruchomi plik (widoczny na zrzucie ekranowym), wykonywana jest seria skryptów, które mają na celu poznanie adresu IP urządzenia ofiary i listy plików – co pozwala ocenić, czy wybrany cel jest dla atakujących atrakcyjny. Jeśli okaże się interesujący, mają oni możliwość wykonania na komputerze ofiary dodatkowych, dowolnych działań.
Atakowany nie ma świadomości, co dzieje się z jego urządzeniem, ponieważ jednocześnie w przeglądarce wyświetlane są zdjęcia kobiety w bieliźnie, co ma uwiarygodnić narrację przesłaną przez atakujących w e-mailu.
CERT Polska pilnie ostrzega
Podstawowym celem tego komunikatu jest zakłócenie wrogich działań i umożliwienie wykrycia oraz analizy opisywanych działań. CERT Polska rekomenduje weryfikację przez administratorów sieci, czy pracownicy organizacji nie byli obiektem opisywanego ataku. Szczegółowe wskazówki w tym zakresie znajdują się w publikacji na stronie cert.pl.
Jeśli istnieje podejrzenie infekcji szkodliwym oprogramowaniem, kluczowe jest odłączenie urządzenia od sieci i niezwłoczny kontakt z właściwym zespołem CSIRT.
Wyróżnione aktualności
AktualnośćRosyjskie lub białoruskie źródło informacji – bądźcie ostrożni. Rekomendacje dla mediów
Białoruskie służby podały, że zapobiegły przemytowi największej w historii partii materiałów wybuchowych z Polski na terytorium Białorusi i Rosji. Informację tę publikują polskie media. Apelujemy o ostrożność i informowanie odbiorców, że to może być dezinformacja.
AktualnośćSukces NASK. Ewelina Bartuzi-Trokielewicz z grantem LIDERA
Fałszywe reklamy inwestycyjne, deepfake’i z celebrytami i linki, które prowadzą donikąd – właśnie z tym mierzy się Ewelina Bartuzi-Trokielewicz w swoim nowym projekcie badawczym.
Aktualność300 incydentów dziennie - premiera raportu CERT Polska za 2024 rok
Fala zagrożeń rośnie, bo incydentów w cyberprzestrzeni jest coraz więcej, lecz także chronimy się przed nimi coraz lepiej – to wnioski, które płyną z najnowszego raportu CERT Polska za 2024 rok. Zostały one przekazane podczas SECURE International Summit 2025. Trudno wyobrazić sobie lepsze miejsce do prezentacji tak istotnego dokumentu, niż największa impreza polskiej prezydencji poświęcona cyberbezpieczeństwu.
Dziewczyny – czas na Klub Cyfrowych Możliwości!
Jesteś studentką co najmniej drugiego roku kierunku związanego z ICT*? Chcesz zdobyć stypendium, referencje, nowe umiejętności i wiedzę, a przy okazji zarobić? Zgłoś się do projektu Klub Cyfrowych Możliwości (KCM)!
Najnowsze aktualności
AktualnośćGranie z głową – jak chronić dzieci w cyfrowym świecie?
Czy wiesz, że prawie połowa polskich nastolatków codziennie gra online? Internetowa rozrywka jest dziś popularniejsza niż kiedykolwiek – stanowi codzienność młodych ludzi, a dla wielu rodziców powód do niepokoju. Czy słusznie?
AktualnośćDr Marta Wachowicz nową prezes Polskiej Agencji Kosmicznej!
Jeszcze niedawno kierowała Biurem Nauki i Technologii w NASK. Dziś obejmuje stery jednej z najważniejszych instytucji w polskim sektorze kosmicznym. Dr Marta Wachowicz została powołana na stanowisko prezesa Polskiej Agencji Kosmicznej!
Aktualność„Szkoła międzypokoleniowa” buduje mosty
Ponad 10 tysięcy seniorów zdobyło cyfrowe umiejętności. Wśród nich był nawet 96-latek! W rolę mentorów wcielili się uczniowie polskich szkół, którzy z empatią, cierpliwością i zaangażowaniem tłumaczyli przyszywanym „babciom” i „dziadkom” tajniki cyfrowego świata. W siedzibie Kancelarii Prezesa Rady Ministrów odbyła się Gala Finałowa podsumowująca projekt.