Rosyjski cyberatak na polskie instytucje rządowe. CERT potwierdza
![moskwa](https://images.iberion.media/images/1920/jaunt_and_joy_of_Em_Rp0jwg_unsplash_980f1817ce.jpg)
Należy zdawać sobie sprawę, że w związku z napaścią Rosji na Ukrainę znacząco zwiększyła się intensywność ataków na infrastrukturę informatyczną Polski. Hakerzy na zlecenie rządu Federacji Rosyjskiej w zasadzie bezustannie przypuszczają kolejne ataki. Analizę jednej z kampanii opublikował w ostatnim czasie polski CERT.
Rosyjska grupa atakuje Polskę
CERT Polska i CSIRT MON opublikowały analizę techniczną kampanii ataku na polską infrastrukturę rządową. Dokonano nawet atrybucji - za działaniami ma stać grupa APT28, którą z kolei wiąże się z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej znanym lepiej jako GRU.
Wszystko rozpoczęło się od maila, w którym zachęca się do kliknięcia linka. Prowadzi on do serwisu, z którego ofiara jest przekierowywana dalej, oczywiście w celu zapobiegnięcia wykryciu. W końcu rozpoczyna się pobieranie pliku ZIP, który ma jednak rozszerzenie JPG, co ma sprawiać wrażenie, że mamy do czynienia z obrazkiem.
Trojan bankowy atakuje smartfony z Androidem. Mężczyzna stracił 400 tys. złSkrypty zbierają dane o rządowych komputerach
Archiwum składa się z trzech plików. Pierwszy z nich to zmodyfikowany windowsowy kalkulator udający zdjęcie. Po uruchomieniu wyświetla on zdjęcie, ale też wczytuje drugi element, ukrytą bibliotekę przygotowaną przez napastników - zmodyfikowaną WindowsCodecs.dll. Biblioteka uruchamia trzeci składnik archiwum, czyli skrypt BAT.
Skrypt ten otwiera przeglądarkę Edge, która z pozoru wyświetla zdjęcia kobiety, o której mowa w mailu, jednak w tle zakodowana zawartość strony pobiera kolejny skrypt. Ten pobiera kolejny plik, zmienia jego rozszerzenie z JPG na CMD i go wykonuje. Ten powtarza operację z kolejnym skryptem, tym razem w formacie CSS. W tak zawoalowany sposób, którego celem jest maskowanie aktywności, zbierane są informacje na temat zainfekowanej maszyny.
Zalecenia w związku z atakami
Z komputera zbierane są takie dane, jak adres IP oraz lista plików zlokalizowanych w konkretnych folderach. Te są następnie wysyłane na serwer należący do APT28. Mowa więc o działaniach stricte wywiadowczych, które w przyszłości mogą być wykorzystane do identyfikacji celów, ale na tym etapie nie można jeszcze mówić o działaniach stricte powyżej progu agresji.
CERT Polska rzecz jasna nie opublikował informacji o skali ataku, ani o liczbie pracowników administracji rządowej, których komputery zostały zaatakowane z sukcesem. Pojawiły się natomiast zalecenia dla administratorów infrastruktury, na które składa się weryfikacja połączeń z adresami używanymi do maskowania aktywności napastników, filtrowanie ich i ewentualne blokowanie.
![Chrome](https://images.iberion.media/images/origin/chrome_ochrona_fot_pxhere_DALL_E_897cb3f8b6.png)
![oszustwo](https://images.iberion.media/images/origin/telefon_12ea8a73ab_5caa5afa68_3d0fe0099a.jpg)
![osoba przy komputerze](https://images.iberion.media/images/origin/EN_01460710_0002_237375c1f1.jpg)
![smartfon i laptop](https://images.iberion.media/images/origin/pilne_biznes_2e0a050355.jpg)
![windows](https://images.iberion.media/images/origin/ed_hardie_Y5_P_Sy_Mm8n_Mk_unsplash_a2e41d842e_55b39ba678.jpg)
![haker](https://images.iberion.media/images/origin/pexels_mikhail_nilov_6964348_1_b4310ba88d_3b9344f743_d6f92d902a_18a3ec66c9_1f47d54829_c84fb0b933_81c687761f_8ba8ea34f7_57af3715cf_f20d1fe785_87a78f98bd_f6e4f8dc2b_d7cfd63ce0_7d560034da_390fbea8a8.jpg)
![Luna](https://images.iberion.media/images/origin/EN_01619279_0013_d991ab2d8e.jpg)
![haker](https://images.iberion.media/images/origin/jedna_osoba_piszaca_na_klawiaturze_komputera_w_nocy_wygenerowana_przez_sztuczna_inteligencje_15f1913a80_21f5c05c69.jpg)
![SearchGPT](https://images.iberion.media/images/origin/Search_GPT_2_fot_screen_Open_Ai_Beata_Zawadzka_EN_93670a16d3.png)
![SARS-COV-2 JN1](https://images.iberion.media/images/origin/COVID_19_fot_Pxhere_DALL_E_d5e75031d4.png)
![bsod](https://images.iberion.media/images/origin/d2cdj47_96650d61_1fbd_49ad_99c1_319d7de22dce_1e17cdae56.jpg)
![smartfon](https://images.iberion.media/images/origin/pexels_zaktech90_971325_1785d660e5.jpg)
![intel galileo](https://images.iberion.media/images/origin/19367373188_8b002b576c_h_b443674ec7.jpg)
![smartfon](https://images.iberion.media/images/origin/adrien_K12_Srka_Zu_Cg_unsplash_6843bef84f_09250301c3.jpg)
![smartofny](https://images.iberion.media/images/origin/telefony_Pxhere_5415c1e7d3.png)
![Bankomat](https://images.iberion.media/images/origin/bankomat_Pxhere_cb0e68368a.png)
![plaża](https://images.iberion.media/images/origin/7488_ef208f936e.jpg)
![Atak we Francji](https://images.iberion.media/images/origin/paryz_fot_Thibaud_Moritz_East_News_rawpixel_31b2f22797.png)
![smartfon](https://images.iberion.media/images/origin/asterfolio_Pjo_Jga8_Eov_Q_unsplash_ec8e06114f_5562b2f42c_ce8ee32c16_a82dd37fad_ec04959774.jpg)
![Oszustwo na BLIK](https://images.iberion.media/images/origin/policja_BLIK_fot_arembowski_needpix_KPP_Parczew_27bf30738e.png)
![awaria telefonu](https://images.iberion.media/images/origin/uszkodzony_telefon_fot_Pickpik_325732ad2f.png)
![odcinkowy pomiar prędkości](https://images.iberion.media/images/origin/odcinkowy_pomiar_predkosci_fot_Jakub_Kaminski_EN_cba3762801.png)
![Tesla](https://images.iberion.media/images/origin/bram_van_oost_2_N_Aqu_Pmxld8_unsplash_1bf15069aa.jpg)
![Santander Bank](https://images.iberion.media/images/origin/santander_fot_arkadiusz_ziolek_EN_db9fcdd0ab.jpg)
![niebieski ekran śmierci](https://images.iberion.media/images/origin/The_Blue_Screen_of_Death_in_the_wild_51122315060_b4cdc9361c.jpg)
![google](https://images.iberion.media/images/origin/kai_wenzel_06_MH_Ff_Yv6_YY_unsplash_04e5a6fa83.jpg)
![Celine Dion](https://images.iberion.media/images/origin/Kopia_WZORY_DLA_SG_2024_07_26_T233159_059_b0fccb9d4f.jpg)
![Występ Lady Gagi na Igrzyskach Olimpijskich](https://images.iberion.media/images/origin/Wystep_Lady_Gagi_na_Igrzyskach_Olimpijskich_c57c60b176.png)
![Rak szyjki macicy, rak](https://images.iberion.media/images/origin/Co_roku_z_powodu_tego_raka_umiera_1600_Polek_9631c7e88a.jpg)
![Bożena Dykiel, Mieczysław Hryniewicz](https://images.iberion.media/images/origin/Bozena_Dykiel_Mieczyslaw_Hryniewicz_f9de23f40d.jpg)
![Był sobie kot](https://images.iberion.media/images/origin/Byl_sobie_kot_d3edad37dc.jpg)
![Materiały promocyjne](https://images.iberion.media/images/origin/Kobieta_w_ogrodzie_a42c929a56.png)
![Wulkan](https://images.iberion.media/images/origin/wulkan_turysci_pl_nowe_bd7df8b62a.jpg)
![Chrome](https://images.iberion.media/images/origin/chrome_ochrona_fot_pxhere_DALL_E_897cb3f8b6.png)
![Wakacje](https://images.iberion.media/images/origin/upadek_biura_1831724a08.png)
![Kot i Pies](https://images.iberion.media/images/origin/Projekt_bez_nazwy_1_40e6b73458.png)
![Celine Dion](https://images.iberion.media/images/origin/Szablony_Lelum_1200x700_88_20cfa0db40.png)
![tarcie jabłek](https://images.iberion.media/images/origin/kolacja_na_cieplo_b4401f9f16.jpg)