Rosyjscy hakerzy zmienili cel ataków. Na celowniku Polska
Szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe było w tym tygodniu rozprowadzane przez grupę hakerów APT28, powiązaną ze służbami wywiadowczymi Rosji – poinformowała Naukowa Akademicka Sieć Komputerowa (NASK).
"Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON. CERT Polska ostrzega i zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy nie byli obiektem ataku" – przekazała w środowym komunikacie NASK.
Sebastian Kondraszuk, który stoi na czele zespołu CERT Polska, działającego w ramach NASK, wyraził swoje zdanie na temat sytuacji. Według niego, współpraca analityków z CERT Polska i CSIRT MON zaowocowała rekomendacjami, które umożliwiają administratorom wykrywanie i przeciwdziałanie wrogiej działalności.
Autorzy komunikatu podkreślili, że identyfikacja grupy APT28 była możliwa dzięki technicznym wskaźnikom oraz podobieństwom do wcześniej opisywanych ataków. Zaznaczyli również, że grupa ta jest powiązana z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej, znanym jako GRU.
Dalsza część artykułu pod materiałem wideo
Sposób działania hakerów
Podkreślili, że pierwszym krokiem w kampanii prowadzonej przez APT28 jest wysyłanie wiadomości e-mail. Treść tych wiadomości wykorzystuje elementy socjotechniki, mające na celu wzbudzenie zainteresowania odbiorcy i skłonienie go do kliknięcia w link. Wyjaśnili, że link prowadzi do adresu w domenie run.mocky.io, darmowym serwisie używanym przez programistów, ale w tym przypadku służy on jedynie jako przekierowanie na kolejny serwis - webhook.site.
Zwrócili uwagę, że jest to adres popularny wśród osób związanych z branżą IT. Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia złośliwych linków, jednocześnie obniżając koszt prowadzonej operacji. Zauważyli, że jest to trend obserwowany u wielu grup APT.
Kolejne państwo zaatakowane
Grupa APT28 jest oskarżana o przeprowadzenie cyberataku na zarząd Socjaldemokratycznej Partii Niemiec (SPD) w 2023 roku. W piątek, szefowa niemieckiej dyplomacji, Annalena Baerbock, oświadczyła, że potwierdziło to śledztwo prowadzone pod nadzorem MSZ.
Tego samego dnia, czeskie MSZ poinformowało, że celem cyberataków grupy powiązanej z rosyjskim wywiadem wojskowym GRU, padły również niektóre czeskie instytucje.
Polskie Ministerstwo Spraw Zagranicznych wyraziło w sobotę solidarność z Niemcami i Czechami w związku z rosyjskimi cyberatakami.
Czytaj także: