Nie ma wątpliwości – nasz kraj znalazł się na celowniku rosyjskich hakerów. Zespoły CERT Polska (CSIRT NASK) i CSIRT MON biją na alarm – zaobserwowały zakrojoną na szeroką skalę kampanię cyberprzestępczą, wymierzoną w polskie instytucje rządowe. A wszystko wskazuje na to, iż za atakiem stoją nie byle jacy gracze – podejrzenia padają na Główny Zarząd Wywiadowczy Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej, czyli słynne GRU.
Fot. Obraz zaprojektowany przez Warszawa w Pigułce wygenerowany w DALL·E 3.
Wiadomości prosto z piekła – tak zaczyna się koszmar
Schemat ataku jest z pozoru prosty, ale diabelsko skuteczny. Na skrzynki ofiar trafiają spreparowane e-maile, których treść ma skłonić do bezmyślnego kliknięcia w załączony link. A potem? Lawina nieszczęść. Niewinny klik prowadzi przez labirynt darmowych serwisów, które hakerzy bezwstydnie wykorzystują do ukrycia swojego złowrogiego softu.
Puszka Pandory w formacie ZIP
Finał tej cyfrowej odysei? Archiwum ZIP, które tylko udaje niewinną paczkę ze zdjęciami. W środku czai się prawdziwa puszka Pandory – kalkulator pozorujący grafikę, skrypt .bat i zainfekowana biblioteka DLL. Gdy niczego nieświadoma ofiara spróbuje otworzyć rzekome zdjęcie, w tle rozgrywa się prawdziwy horror. Złośliwe skrypty budzą się do życia, pobierając kolejne komponenty cyfrowej broni, używając do tego przeglądarki Microsoft Edge.
Taniec złośliwego kodu – kradzież i zniszczenie
A potem? Główna pętla programu zaczyna swój śmiercionośny taniec. Raz po raz pobiera nowe skrypty, które jak sępy rzucają się na wrażliwe dane – adres IP, lista plików, cokolwiek, co może posłużyć agresorom. A to prawdopodobnie dopiero preludium – eksperci podejrzewają, iż wybrane przez GRU komputery mogą otrzymać jeszcze bardziej wyrafinowane złośliwe oprogramowanie.
APT28 – cyfrowi żołnierze Kremla?
Kto stoi za tym cyberatakiem? Analitycy nie mają wątpliwości – wszystkie znaki na niebie i ziemi wskazują na APT28, grupę powiązaną z rosyjskim wywiadem wojskowym GRU. Ten sam schemat, te same narzędzia – to niemal cyfrowy odcisk palca, identyczny jak w przypadku złośliwego systemu HEADLACE, od dawna kojarzonego właśnie z APT28.
Tarcza i miecz – jak bronić się przed zagrożeniem?
Ale nie czas rozpaczać – czas działać! CERT Polska i CSIRT MON przygotowali listę rekomendacji dla administratorów sieci. Weryfikacja logów w poszukiwaniu połączeń z webhook.site i run.mocky.io, blokada tych domen, filtrowanie podejrzanych e-maili – to nasze cyfrowe miecze i tarcze w tej nierównej walce.
A jeżeli podejrzewasz, iż twój komputer już padł ofiarą ataku? Odłącz go od sieci, natychmiast, bez wahania. A potem dzwoń po cyfrową kawalerię – zespoły CSIRT czekają w gotowości, by zminimalizować zniszczenia.
