– Ataków grup APT, związanych zwykle ze służbami obcych, wrogich nam, państw, jest coraz więcej. Kierowane są do podmiotów administracji publicznej, instytucji związanych z działalnością międzynarodową, a także firm transportowych czy logistycznych, zajmujących się łańcuchem dostaw do Ukrainy – mówił dyrektor CSIRT NASK Maciej Siciarek podczas konferencji Impact’24 w Poznaniu. Podkreślał, że wektory ataków mogą się zmieniać w zależności od kampanii, zatem istotne stało się przygotowanie w każdej instytucji odpowiednich systemów budowania świadomości zagrożeń.
Dyrektor CSIRT NASK przypomniał o ujawnionym w zeszłym tygodniu, wspólnie z CSIRT MON, ataku grupy APT28, wiązanej ze służbami wywiadowczymi Rosji. Atak polegał na wysyłaniu wiarygodnie spreparowanych maili do pracowników różnych państwowych instytucji. Maile te zachęcały do wykonania serii drobnych działań na komputerze, utrzymując osobę, w którą wycelowano atak, w przekonaniu, że faktycznie sprawdza zawartość informacji, którą otrzymała.
Gdy dochodzi ona do ostatniego punktu, pobierane jest oprogramowanie. Tym samym urządzenie tej osoby zostaje zainfekowane. I atakujący są w stanie ocenić, czy ta osoba posiada uprawnienia do danych czy informacji, które stanowią wartość wywiadowczą
– wyjaśniał mechanizm działania ataku dyrektor CSIRT NASK.
Maciej Siciarek podkreślał, że udaremnienie ostatniego ataku nie znaczy, że nie będzie on ponawiany. Posłużył się analogią do fałszywych maili czy SMS-ów o konieczności dopłat do nieodebranych przesyłek.
Dopóki nie byliśmy świadomi, że istnieje taki wektor ataku, i że każdy z nas może otrzymać fałszywą informację o paczce, wiele osób straciło pieniądze
– przypomniał. Podkreślił, wracając do ataków grup APT, że ich wykrycie, zrozumienie sposobu działania adwersarza, jest dość skomplikowane, ale do zabezpieczenia się przed nimi wystarczą „dobrze prowadzone systemy budowania świadomości zagrożeń” w każdej instytucji: unikanie reagowania na pewne maile, wyrobienie nawyku weryfikowania: czy ta informacja rzeczywiście jest kierowana do nas, czy faktycznie powinniśmy coś z nią robić.
Ataki grup APT – ilość kontra jakość
Czasami jesteśmy pytani, czy kampanii grup APT było dużo lub bardzo dużo. Odpowiem tak: nie jest ważne, czy było ich kilkadziesiąt, pięć, czy jedna – jeśli ta jedna byłaby skuteczna
– mówił dyrektor CSIRT NASK.
Takich kampanii, które mogły być bardzo skuteczne, obserwowaliśmy kilka, w tym trzy kierowane w zeszłym roku na obszar związany z polską dyplomacją. Natomiast ich zasięg jest mierzony liczbą utworzonych linków, liczbą zainfekowanych urządzeń. Gdy atakujący zdobył już przyczółek w postaci dostępu do urządzenia konkretnej osoby, może prowadzić dalsze szkodliwe działania w związku z jej uprawnieniami, na domenie czy innych systemach danej instytucji. Intencją tego typu ataków nie jest szybka i doraźna korzyść finansowa, tylko czekanie i zbieranie informacji – tak długo, jak stanowią one wartość strategiczną.