Afera mailowa i nie tylko. Polska pod presją Wschodu

Rządowy zespół CSIRT GOV w opublikowanym raporcie o stanie bezpieczeństwa polskiej cyberprzestrzeni w 2021 r. informuje, że we wskazanym okresie zarejestrował 762 175 zgłoszeń o potencjalnym wystąpieniu incydentu teleinformatycznego. Z tego 26 899 faktycznie uznano za incydenty. 

Mówimy więc o ponad trzykrotnym wzroście liczby zgłoszeń w odniesieniu do 2020 r. Wówczas odnotowano 246 107 zgłoszeń.

„Wzrost zarejestrowanych zgłoszeń wynika przede wszystkim z liczby alarmów generowanych przez system ARAKIS GOV” – tłumaczą specjaliści. To narzędzie, które pozwala na identyfikowanie cyberzagrożeń na bazie m.in. dedykowanych sygnatur bezpieczeństwa.

Na taki stan rzeczy miały wpływ także inne czynniki. Wystarczy wspomnieć o postępującej cyfryzacji życia czy pandemii COVID-19 (m.in. upowszechnienie pracy zdalnej, ale również koronawirus był używany jako wabik na ofiary). 

W 2021 roku odnotowano różnego rodzaju incydenty socjotechniczne z wykorzystaniem tematyki szczepień, certyfikatów szczepień, a także testów epidemicznych. Zostały także zidentyfikowane incydenty takie jak ransomware, vishing czy spoofing telefoniczny.
„Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2021 r.”, CSIRT GOV

Grupy APT w Polsce

Specjaliści CSIRT GOV wskazują w raporcie, że wśród cyberzagrożeń, jakie występowały w polskiej cyberprzestrzeni w ubiegłym roku należy wyróżnić wrogie działania prowadzone przez grupy APT. 

Eksperci zwracają uwagę na spearphishing oraz kampanie bazujące na socjotechnice. Atakującym zależało na m.in. wyłudzaniu danych uwierzytelniających – mowa nie tylko o danych do konta e-mail, ale również innych portali, serwisów czy usług.

Rządowy zespół tłumaczy, że tego typu działania są podejmowanie zarówno przez cyberprzestępców jak i podmioty sponsorowane przez państwa. 

„Ghostwriter”. Ataki ze Wschodu

Odnosząc się do konkretnych cyberataków, specjaliści wskazują na kampanię „Ghostwriter”. 

Ma za nią stać grupa UNC1151. Eksperci Mandiant uważają, że to podmiot powiązany z Białorusią. Firma Recorded Future zwraca z kolei uwagę na możliwy rosyjski wątek. 

„Do tej pory brakowało dowodów technicznych wskazujących na zaangażowanie Rosji, ale jest to najprawdopodobniej zamierzony element działań związanych z tym zagrożeniem” – czytamy w raporcie z kwietnia br. 

Podkreślono w nim m.in., że specjaliści Recorded Future odkryli informacje na temat spotkań na wysokim szczeblu między rosyjskimi i białoruskimi przedstawicielami służb bezpieczeństwa. Zdaniem ekspertów to świadczy o jednym: współpraca w ramach kampanii „Ghostwriter” jest prawdopodobna. 

Przypomnijmy, że jej częścią była tzw. „afera mailowa” lub inaczej „Dworczyk Leaks”. Chodzi o regularne publikowanie rzekomo treść elektronicznej korespondencji polskich polityków i osób publicznych.

Na czym polega „Ghostwriter”?

CSIRT GOV w swoim raporcie przytacza przykłady wrogich działań w ramach kampanii. Zwraca uwagę na fałszywe maile, które rozsyłano na skrzynki Polaków. Celem były m.in. osoby korzystające z Onet Poczty. 

Atakujący chcieli skłonić ofiary do wejścia na zainfekowaną stronę. W jaki sposób? Sugerując np. „Krytyczny alert” bezpieczeństwa. Informowano użytkowników, że ich skrzynka jest zagrożona i rzekomo wykryto „podejrzaną aktywność”. Aby nie doszło do usunięcia profilu, należało potwierdzić tożsamość klikając w link. 

W innym przypadku (Onet Poczty) wyświetlano komunikat dotyczący „zwrócenia uwagi na warunki użytkowania”. W jego treści wskazywano, że użytkownik nie potwierdził jeszcze, że jest on właścicielem konta i aby to zrobić powinien kliknąć w odnośnik. 

Kliknięcie powodowało przeniesienie ofiary na fałszywą stronę, gdzie znajdował się formularz. Zawierał dwa pola: e-mail i hasło. Ich wpisanie i „potwierdzenie” prowadziło do utraty konta. Przejmowali je hakerzy.

Zdarzało się, że atakujący w celu uspokojenia użytkowników na koniec całego procesu wysyłali wiadomość z podziękowaniami i fałszywą informacją o poprawnej weryfikacji konta.  

„Wśród celów znajdowali się użytkownicy wielu operatorów poczty elektronicznej, zarówno polskich jak i zagranicznych” – wskazują rządowi eksperci. 

Ataki trwają

Kampania „Ghostwriter” pozostaje aktywna również w bieżącym roku. W połowie lipca CERT Polska ujawnił, że trwają wrogie działania wymierzone w konta użytkowników WP, Interii, O2, Onetu oraz Gmaila (Google).

Jak ustaliliśmy, jednym z celów byli pracownicy wojskowej uczelni: Akademii Sztuki Wojennej. Sprawa dotyczy Katedry Służb Specjalnych ASzWoj. 

Nieoficjalnie dowiedzieliśmy się, że to nie pierwszy raz. Nękanie personelu instytucji wynika ze specyfiki jej działalności. 

Władze Akademii zgłosili incydent odpowiednim podmiotom zgodnie z procedurami. Cyberataki w przypadku pracowników ASzWoj okazały się nieskuteczne. 

Nie tylko „Ghostwriter”

Rządowy zespół zwraca także uwagę na aktywność takich grup jak:

• APT29 (znana również jako CozyBear, CozyCar and Office Monkeys) – to podmiot, który prawdopodobnie związany jest z rosyjskim FSB oraz cyberatakami na np. Biały Dom i Departament Stanu USA. 

W odniesieniu do naszego kraju CSIRT GOV podkreśla, że w 2021 r. APT29 stoi za m.in. szeregiem kampanii socjotechnicznych. 

• APT31 – czyli grupa, którą w środowisku uznaje się za posiadającą związki z chińskim wywiadem. Jej członkowie specjalizują się w kradzieży danych i własności intelektualnej. 

Według raportu APT31 w ubiegłym roku podjęło próby „przełamania zabezpieczeń jednej z instytucji polskiej administracji publicznej".

• Turla (inaczej zwana Snake) – w środowisku eksperckim uważa się, że to podmiot działający na rzecz Rosji. Według estońskich władz grupa jest powiązana z rosyjskim FSB. Jej hakerzy realizują zadania z zakresu szpiegostwa. 

W Polsce aktywność Turla nastawiona była przede wszystkim na atakowanie przede wszystkim ośrodków akademickich oraz think-tanków i NGO. 

Atrakcyjny wirus

Specjaliści CSIRT GOV twierdzą, że w ubiegłym roku w naszym kraju aktywność APT obejmowała nie tylko wspomniane ataki z użyciem socjotechniki, wykorzystaniem luk i podatności systemów oraz oprogramowania, ale także kampanie z użyciem wirusa Cobalt Strike.

Mówimy o złośliwym oprogramowaniu, które uznawane jest za zbiór narzędzi przeznaczonych do prowadzenia prowadzenia testów penetracyjnych oraz operacji typu Red Team. Wyróżnia je m.in. elastyczność, stabilność oraz szeroka gama funkcjonalności. Z tego względu zyskało taką popularność wśród grup APT.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].