biznes finanse video praca handel Eko Energetyka polska i świat O nas
Obserwuj nas na:
BiznesINFO.pl > Technologie > Rosyjski cyberatak na polskie instytucje rządowe. CERT potwierdza
Maciej Olanicki
Maciej Olanicki 12.05.2024 15:13

Rosyjski cyberatak na polskie instytucje rządowe. CERT potwierdza

Rosyjski cyberatak na polskie instytucje rządowe. CERT potwierdza
Fot. Unsplash/Jaunt and Joy

Należy zdawać sobie sprawę, że w związku z napaścią Rosji na Ukrainę znacząco zwiększyła się intensywność ataków na infrastrukturę informatyczną Polski. Hakerzy na zlecenie rządu Federacji Rosyjskiej w zasadzie bezustannie przypuszczają kolejne ataki. Analizę jednej z kampanii opublikował w ostatnim czasie polski CERT. 

Rosyjska grupa atakuje Polskę

CERT Polska i CSIRT MON opublikowały analizę techniczną kampanii ataku na polską infrastrukturę rządową. Dokonano nawet atrybucji - za działaniami ma stać grupa APT28, którą z kolei wiąże się z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej znanym lepiej jako GRU.

Wszystko rozpoczęło się od maila, w którym zachęca się do kliknięcia linka. Prowadzi on do serwisu, z którego ofiara jest przekierowywana dalej, oczywiście w celu zapobiegnięcia wykryciu. W końcu rozpoczyna się pobieranie pliku ZIP, który ma jednak rozszerzenie JPG, co ma sprawiać wrażenie, że mamy do czynienia z obrazkiem.

Skrypty zbierają dane o rządowych komputerach

Archiwum składa się z trzech plików. Pierwszy z nich to zmodyfikowany windowsowy kalkulator udający zdjęcie. Po uruchomieniu wyświetla on zdjęcie, ale też wczytuje drugi element, ukrytą bibliotekę przygotowaną przez napastników - zmodyfikowaną WindowsCodecs.dll. Biblioteka uruchamia trzeci składnik archiwum, czyli skrypt BAT.

Skrypt ten otwiera przeglądarkę Edge, która z pozoru wyświetla zdjęcia kobiety, o której mowa w mailu, jednak w tle zakodowana zawartość strony pobiera kolejny skrypt. Ten pobiera kolejny plik, zmienia jego rozszerzenie z JPG na CMD i go wykonuje. Ten powtarza operację z kolejnym skryptem, tym razem w formacie CSS. W tak zawoalowany sposób, którego celem jest maskowanie aktywności, zbierane są informacje na temat zainfekowanej maszyny.

Zalecenia w związku z atakami

Z komputera zbierane są takie dane, jak adres IP oraz lista plików zlokalizowanych w konkretnych folderach. Te są następnie wysyłane na serwer należący do APT28. Mowa więc o działaniach stricte wywiadowczych, które w przyszłości mogą być wykorzystane do identyfikacji celów, ale na tym etapie nie można jeszcze mówić o działaniach stricte powyżej progu agresji.

CERT Polska rzecz jasna nie opublikował informacji o skali ataku, ani o liczbie pracowników administracji rządowej, których komputery zostały zaatakowane z sukcesem. Pojawiły się natomiast zalecenia dla administratorów infrastruktury, na które składa się weryfikacja połączeń z adresami używanymi do maskowania aktywności napastników, filtrowanie ich i ewentualne blokowanie.

Bądź na bieżąco - najważniejsze wiadomości z kraju i zagranicy
Google News Obserwuj w Google News
Tagi: Cyberbezpieczeństwo Rosja Polska
Wybór Redakcji
Leszek Gierszewski nie żyje
Nie żyje Leszek Gierszewski. Założył firmę, którą zna każdy Polak
dowód osobisty
Te dokumenty mogą być warte majątek. Polacy powinni koniecznie przeszukać szuflady
Najnowsze
BiznesINFO.pl
Nasze serwisy
Iberion.com
biznesinfo.pl
rolnikinfo.pl
gotowanie.smakosze.pl
goniec.pl
news.swiatgwiazd.pl
pacjenci.pl
goracetematy.pl
dieta.pacjenci.pl
Przydatne linki
Pracuj.pl
Archiwum
Autorzy artykułów
Kontakt
Mapa serwisu
Reklama w BiznesINFO.pl
Obserwuj nas na:
Copyright © 2025 IBERION Sp. z o.o., NIP 9512398358 • Iberion. Wiarygodne dziennikarstwo. Z największym zasięgiem w social mediach. Polityka prywatności Kontakt Regulamin