Wojsko Polskie ujawnia wrogą operację

Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) wykryło wrogą aktywność wymierzoną w serwery pocztowe Microsoft Exchange. Cyberwojska podają, że ofiary znajdują się również w naszym kraju. „W wyniku przeprowadzonych przez DKWOC analiz potwierdzono szkodliwe działania przeciwko podmiotom publicznym i prywatnym w Polsce” – wskazuje Dowództwo. 

Analiza operacji

W pierwszym kroku sprawcy starają się pozyskać dostęp do skrzynki za pomocą ataków typu bruteforce lub wykorzystując podatności CVE-2023-23397. Warto podkreślić, że po raz pierwszy użycie wskazanej luki w oprogramowaniu Outlook zostało wykryte przez ukraiński CERT (CERT-UA), a więcej na ten temat ujawnił Microsoft.

Następnie hakerzy dokonują modyfikacji uprawnień do folderów. Jak podaje DKWOC, w większości przypadków polegają one na zmianie domyślnych uprawnień grupy „Default” (wszyscy uwierzytelnieni użytkownicy w organizacji pocztowej Exchange) z wartości „None” na „Owner”. W efekcie ich zawartość może zostać odczytana przez dowolnego użytkownika, który został uwierzytelniony.

Celem były skrzynki stanowiące wysoką wartość informacyjną dla wroga. Na skutek ataku, osoby z zewnątrz mogły uzyskać nieuprawniony dostęp do zawartości poczty. 

Ataki rosyjskiego GRU?

Analiza przeprowadzona przez cyberżołnierzy RP wykazała, że wykorzystanie podatności CVE-2023-23397 oraz kampania z użyciem metody password-sprayingu pokrywają się z działaniami wiązanymi (przez amerykańskie i brytyjskie podmioty rządowe) z aktywnością grupy APT28 (znaną powszechnie jako Fancy Bear). Jej działalność ma być kontrolowana przez rosyjskie GRU.

Powyższe działania w ocenie DKWOC świadczą o wysokim poziomie zaawansowania adwersarza oraz gruntownej wiedzy na temat architektury oraz mechanizmów działania systemu pocztowego Microsoft Exchange.
Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni

Cyberżołnierze ostrzegają, że luka może być nadal aktywnie wykorzystywana, dlatego też ważne jest wdrożenie właściwych procedur oraz sięgniecie po odpowiednie narzędzia. Wojsko opracowało specjalny zestaw instrumentów, które warto uruchomić w środowisku pocztowym Microsoft Exchange (narzędzia oraz instrukcje są pod linkiem).

W przedmiotowej sprawie, w ramach Krajowego Systemu Cyberbezpieczeństwa, przeprowadzone zostały działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz ze wsparciem firmy Microsoft.
Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni

Ponadto, cyberwojska rekomendują:

• wdrożenie mechanizmów umożliwiających wykrycie połączeń do skrzynki pocztowej udostępniającej foldery za pomocą innej skrzynki pocztowej na podstawie dzienników zdarzeń z lokalizacji: %ExchangeInstallPath%Logging\\HttpProxy\\Ews\\ ; %ExchangeInstallPath%Logging\\Ews\\ ;  %ExchangeInstallPath%logging\\Mapihttp\\Mailbox\\ ;
• weryfikację kont posiadających przypisaną rolę Application Impersonation;
• weryfikację ustawień dotyczących delegacji uprawnień do skrzynek pocztowych;
• wdrożenie rekomendacji opisanych przez Microsoft (link) oraz służby USA i Wielkiej Brytanii (link);
• audyt metod dostępu do poczty elektronicznej w celu identyfikacji potencjalnych wektorów ataku.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].