"Szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe było w tym tygodniu rozprowadzane przez grupę hakerów APT28, powiązaną ze służbami wywiadowczymi Rosji" - informuje NASK. Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz MON.
Grupa hakerów ATP28 jest powiązana z GRU. Tak wyglądał atak
Grupa APT28 jest kojarzona z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU). Pierwszy element kampanii prowadzonej przez APT28 to wysyłka wiadomości e-mail. Jej treść wykorzystuje elementy socjotechniki, które mają wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia linku. Link kieruje do adresu w domenie run.mocky.io - to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany tylko do przekierowania na kolejny serwis - webhook.site umożliwiając logowanie wszystkich zapytań pod wygenerowany adres i konfigurowanie odpowiedzi na nie. Strona ta cieszy się także dużym zainteresowaniem wśród osób związanych z IT.
Treść zachęcała do kliknięcia linku do zewnętrznej strony i pobrania rzekomych zdjęć. Dla uśpienia uwagi były one spakowane archiwum ZIP ze skompresowanymi plikami, które z nazwy sugerowały, że są to zdjęcia w formacie JPG. W rzeczywistości pliki były prostymi programami zawierającymi polecenia dla komputera ofiary i pozwalały sprawdzić między innymi adres IP. W ten sposób cyberprzestępcy chcieli zweryfikować czy dany komputer jest atrakcyjny do dalszej penetracji. W przypadku potwierdzenia uruchomiony program umożliwiał hakerom wykonanie innych poleceń w komputerze w ukryciu i bez wiedzy użytkownika.
"Korzystanie z bezpłatnych, powszechnie używanych usług, zamiast własnych domen pozwala znacznie ograniczyć wykrywanie linków jako złośliwych, a jednocześnie zmniejsza koszty operacji. Jest to trend, który obserwujemy w wielu grupach APT" - podaje CERT Polska.
Czesi i Niemcy także zaatakowani przez APT28
Kilka dni temu czeski resort spraw zagranicznych wezwał ambasadora Rosji w związku z cyberatakami na państwowe instytucje oraz infrastrukturę krytyczną. Według czeskich władz mieli za nimi stać hakerzy związani właśnie z rosyjskim wywiadem wojskowym. "Wezwaliśmy Federację Rosyjską do zaprzestania działań, które są sprzeczne z normami ONZ i jej własnymi zobowiązaniami" - napisał w portalu X szef czeskiej dyplomacji Jan Lipavský.
Jego resort poinformował, że kontrolowana przez Rosję grupa hakerska APT28 od ubiegłego roku prowadziła ataki wykorzystując nieznaną dotąd lukę w programie Microsoft Outlook. O atakach wymierzonych w agencje rządowe oraz firmy z branży logistycznej i obronnej poinformowały też Niemcy. Tamtejszy MSZ wezwał rosyjskiego chargé d'affaires.
