Rosyjscy hakerzy zmienili cel ataków. Na celowniku Polska
Szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe było w tym tygodniu rozprowadzane przez grupę hakerów APT28, powiązaną ze służbami wywiadowczymi Rosji – poinformowała Naukowa Akademicka Sieć Komputerowa (NASK).
"Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON. CERT Polska ostrzega i zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy nie byli obiektem ataku" – przekazała w środowym komunikacie NASK.
Sebastian Kondraszuk, który stoi na czele zespołu CERT Polska, działającego w ramach NASK, wyraził swoje zdanie na temat sytuacji. Według niego, współpraca analityków z CERT Polska i CSIRT MON zaowocowała rekomendacjami, które umożliwiają administratorom wykrywanie i przeciwdziałanie wrogiej działalności.
Autorzy komunikatu podkreślili, że identyfikacja grupy APT28 była możliwa dzięki technicznym wskaźnikom oraz podobieństwom do wcześniej opisywanych ataków. Zaznaczyli również, że grupa ta jest powiązana z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej, znanym jako GRU.
Dalsza część artykułu pod materiałem wideo
Putin zaatakuje kraj NATO? "To irracjonalne"
Sposób działania hakerów
Podkreślili, że pierwszym krokiem w kampanii prowadzonej przez APT28 jest wysyłanie wiadomości e-mail. Treść tych wiadomości wykorzystuje elementy socjotechniki, mające na celu wzbudzenie zainteresowania odbiorcy i skłonienie go do kliknięcia w link. Wyjaśnili, że link prowadzi do adresu w domenie run.mocky.io, darmowym serwisie używanym przez programistów, ale w tym przypadku służy on jedynie jako przekierowanie na kolejny serwis - webhook.site.
Zwrócili uwagę, że jest to adres popularny wśród osób związanych z branżą IT. Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia złośliwych linków, jednocześnie obniżając koszt prowadzonej operacji. Zauważyli, że jest to trend obserwowany u wielu grup APT.
Kolejne państwo zaatakowane
Grupa APT28 jest oskarżana o przeprowadzenie cyberataku na zarząd Socjaldemokratycznej Partii Niemiec (SPD) w 2023 roku. W piątek, szefowa niemieckiej dyplomacji, Annalena Baerbock, oświadczyła, że potwierdziło to śledztwo prowadzone pod nadzorem MSZ.
Tego samego dnia, czeskie MSZ poinformowało, że celem cyberataków grupy powiązanej z rosyjskim wywiadem wojskowym GRU, padły również niektóre czeskie instytucje.
Polskie Ministerstwo Spraw Zagranicznych wyraziło w sobotę solidarność z Niemcami i Czechami w związku z rosyjskimi cyberatakami.
Czytaj także:
