AktualnośćPolskie instytucje rządowe celem APT28
Szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe było w tym tygodniu dystrybuowane przez grupę APT28, wiązaną ze służbami wywiadowczymi Rosji. Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON. CERT Polska ostrzega i zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy nie byli obiektem opisanego poniżej ataku.
Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności –powiedział Sebastian Kondraszuk, kierujący zespołem CERT Polska, działającym w NASK.
Jak wyglądał atak – analiza techniczna
Wskaźniki techniczne i podobieństwa do opisywanych w przeszłości ataków pozwoliły na identyfikację grupy APT28, stojącej za opisanymi niżej aktywnościami. Grupa ta jest kojarzona z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Pierwszy element kampanii prowadzonej przez APT28 to wysyłka wiadomości e-mail. Jej treść wykorzystuje elementy socjotechniki, które mają wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia w link.
Link kieruje do adresu w domenie run.mocky.io – to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany tylko do przekierowania na kolejny serwis – webhook.site. To również popularny adres wśród osób związanych z IT. Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji. To trend, który obserwujemy u wielu grup APT.
Z serwisu webhook.site zostaje ostatecznie pobrane archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć, bo zaczyna się od skrótu „IMG”.
Tak naprawdę archiwum zawiera trzy pliki. Gdy ofiara uruchomi plik (widoczny na zrzucie ekranowym), wykonywana jest seria skryptów, które mają na celu poznanie adresu IP urządzenia ofiary i listy plików – co pozwala ocenić, czy wybrany cel jest dla atakujących atrakcyjny. Jeśli okaże się interesujący, mają oni możliwość wykonania na komputerze ofiary dodatkowych, dowolnych działań.
Atakowany nie ma świadomości, co dzieje się z jego urządzeniem, ponieważ jednocześnie w przeglądarce wyświetlane są zdjęcia kobiety w bieliźnie, co ma uwiarygodnić narrację przesłaną przez atakujących w e-mailu.
CERT Polska pilnie ostrzega
Podstawowym celem tego komunikatu jest zakłócenie wrogich działań i umożliwienie wykrycia oraz analizy opisywanych działań. CERT Polska rekomenduje weryfikację przez administratorów sieci, czy pracownicy organizacji nie byli obiektem opisywanego ataku. Szczegółowe wskazówki w tym zakresie znajdują się w publikacji na stronie cert.pl.
Jeśli istnieje podejrzenie infekcji szkodliwym oprogramowaniem, kluczowe jest odłączenie urządzenia od sieci i niezwłoczny kontakt z właściwym zespołem CSIRT.
Wyróżnione aktualności
ArtykułNASK promuje młode talenty informatyczne. Weź udział w naszym konkursie
Trwa konkurs na najlepszą pracę magisterską z zakresu informatyki. To doskonała okazja, by zdobyć nagrody i otworzyć sobie drzwi do kariery w NASK oraz innych czołowych instytucji badawczo-technologicznych. Zgłoszenia przyjmowane są do 10 października, a pula nagród wynosi 60 tys. zł.
AktualnośćBez człowieka nie ma mowy o cyberbezpieczeństwie
Cyberodporność zyskała ludzką twarz – nie tylko technologia, ale przede wszystkim ludzie są odpowiedzialni za bezpieczeństwo firm. To ich świadomość, czujność i odpowiedzialność – stanowią pierwszą i ostatnią linię obrony przed cyfrowymi atakami. Jak rozwijać zabezpieczenia i jaka jest kondycja polskiego biznesu? O tym rozmawiali goście Europejskiego Kongresu Gospodarczego w Katowicach.
AktualnośćNASK inspiruje młodych: rekordowa frekwencja w Olimpiadzie ESA
Aż 21 tysięcy uczestników, trudne pytania z nauki o klimacie i wielka pasja do ochrony środowiska. 15-letnia Basia Lehmann jako jedyna uczestniczka zdobyła maksymalną liczbę punktów! Zakończyła się IV Ogólnopolska Olimpiada Antysmogowa, organizowana przez NASK.
AktualnośćPuls dezinformacji. EKG w Katowicach
Fałszywe narracje w infosferze to coraz większy problem społeczny. Szczególnie w kontekście zbliżających się wyborów prezydenckich. Jaka jest skala i dynamika tego zjawiska? Jak wpływa na życie społeczne oraz publiczne? To kwestie, które przewijają się w dyskusji podczas Europejskiego Kongresu Gospodarczego w Katowicach.
Najnowsze aktualności
AktualnośćIncydent? Nie działaj w pojedynkę – zgłoś go do CERT Polska
Często zaczyna się niewinnie – e-mail z „pilną wiadomością” z banku, SMS z linkiem informującym o niedopłacie. Chwilę później cyberprzestępcy chcą wyłudzić dane wrażliwe lub te do logowania w bankowości elektronicznej. Rozpoznawanie zagrożeń to jedno, ale równie ważne jest zgłaszanie ich do działającego w NASK zespołu CERT Polska.
AktualnośćDomena .pl – mniej zagrożeń, więcej zaufania
Przestępcy boją się domen.pl i (prawie) nie korzystają z nich w swojej kryminalnej działalności. Jedynie 0,74% kampanii przeciwko polskim użytkownikom* używa domen .pl. To ponad szesnaście razy mniej niż w 2023! To olbrzymia zasługa zmian wprowadzonych przez NASK, który zarządza rejestrem domeny .pl. NASK usprawnił proces blokowania domen w strefie .pl., dzięki temu domena .pl jest silnym bastionem cyberbezpieczeństwa.
Możliwa próba ingerencji w kampanię wyborczą. AKTUALIZACJA 21.05.2025
NASK otrzymał od firmy Meta wyjaśnienia w sprawie reklam wyborczych, o których wstrzymanie wnioskował. Wynika z nich, że Meta nie zablokowała reklam wyborczych.