#CyberMagazyn: To oni atakowali Polskę w cyberprzestrzeni. Prognozy bez optymizmu

Rok 2022 był wyjątkowo niespokojny w cyberprzestrzeni, także dla podmiotów administracji rządowej czy infrastruktury krytycznej – wskazywaliśmy już na łamach CyberDefence24.pl.

Dlaczego? Zespół CSIRT GOV (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego – red.) we wspomnianym okresie otrzymał w sumie 1,234 mln zgłoszeń o potencjalnym incydencie, w tym 21,56 tys. stanowiło realne zdarzenia w cyberprzestrzeni, na co wskazano w raporcie CSIRT GOV o stanie bezpieczeństwa w cyberprzestrzeni RP na 2022 rok.

We wspomnianym dokumencie wskazano także, jakie grupy APT (stwarzające zaawansowane trwałe zagrożenie w cyberprzestrzeni – red.) atakowały polskie systemy rządowe najczęściej. Nie bez powodu stale utrzymuje się trzeci stopień alarmowy CHARLIE-CRP w cyberprzestrzeni (w czterostopniowej skali).

„Rok 2022 okazał się szczególnie istotny w kontekście zagrożeń APT, których eskalacja była widoczna w związku z kampaniami przeciwko infrastrukturze teleinformatycznej w Ukrainie stanowiącymi element trwającego konfliktu. Szczególnym rodzajem zagrożenia były ataki z użyciem złośliwego oprogramowania określanego jako wiper, służącego do nadpisywania wybranych plików, powodując uniemożliwienie prawidłowego działania zaatakowanych systemów” – czytamy w raporcie.

Zespół CSIRT GOV wskazał także, że „spośród szeregu zagrożeń” na szczególną uwagę zasługują kampanie phishingowe, wykorzystywane przez grupy APT do ataku, a za najczęściej rozpoznawaną aktywność określono te bazujące na ukierunkowanej dystrybucji wiadomości poczty elektronicznej. Jako przykład z 2022 roku podano wykorzystywanie spreparowanych, fałszywych informacji dotyczących wojny w Ukrainie.

Dobrze znane grupy APT

Jako kampanie o największej sile „rażenia” wskazano m.in. tę przypisaną grupie APT-28. Podatność stosowano także wobec ukraińskich odbiorców, a w ramach kampanii rozysłano pliki z rozszerzeniem RTF „Nuclear Terrorism A Very Real Threat.rtf”, który był dokumentem Microsoft Word. Pozornie miał on dotyczyć „zagrożenia atakiem nuklearnym na Ukrainę” (nie będziemy tu szczegółowo omawiać każdej z kampanii, a jedynie jej zarys, odsyłamy do naszych archiwalnych tekstów).

Pakiet Office wykorzystywano również do infekcji złośliwym oprogramowaniem plikami XLL (rozszerzenie dla programu Microsoft Excel (Excel add-on). W 2022 roku zespół CSIRT GOV zidentyfikował kampanię phishingową, która wykorzystywała właśnie bibliotekę XLL jako pierwszy etap infekcji złośliwym oprogramowaniem. Kampania – „z dużym prawdopodobieństwem” została przypisana grupie TURLA.

Kolejną aktywną wobec Polski grupą APT była UAC-0056, która wykorzystała skompromitowane konta pocztowe administracji samorządowej Ukrainy (w treści wiadomości podszywano się pod Urząd Statystyczny Ukrainy). W lipcu 2022 roku w ramach kampanii wysyłano załącznik „Report on the humanitarian situation in Ukraine since February 24,2022.xls”, który zawierał makra. Ta odsłona kampanii dotyczyła również odbiorców w Ukrainie - tyle, że załącznik XLS zawierał treść w języku ukraińskim.

Jako kolejne zagrożenie wskazano kampanię, którą przypisano grupie APT29, w ramach której podszywano się pod Ambasadę Portugalii i rozsyłano plik „Agenda.pdf”. Zawierał on odnośnik rzekomo do kalendarza Ambasadora, natomiast w mailu zapraszano na spotkanie. Z kolei druga odsłona kampanii – kilka miesięcy później, przeprowadzona także w ubiegłym roku – posiadała zainfekowany odnośnik bezpośrednio w wiadomości.

Aktywna miała być również grupa APT Mustang Panda, która wykorzystywała pocztę Outlook, by podszyć się pod polityków z państw UE. W ten sposób dystybuowano złośliwe oprogramowanie PlugX. Przy tym wykorzystywano także wątek aktualnej sytuacji geopolitycznej (w treści korespondencji oraz w dokumencie, który maskował złośliwe pliki, pobieranym z odnośnika umieszczonego w wiadomości). Innym wariantem było również wysłanie załącznika w postaci archiwum.

Omówione wyżej przykłady jasno wskazują na szereg sposobów, którymi posługują się profesjonalni cyberprzestępcy, by zainfekować komputer ofiary i wykraść wrażliwe dane osobowe czy pliki na których zależy adwersarzom.

Aktywność grup ciągłym wyzwaniem

Jak czytamy w raporcie, ze względu na „panującą sytuację geopolityczną należy zakładać, że aktywność grup APT stanowić będzie ciągłe wyzwanie dla zespołów odpowiedzialnych za cyberbezpieczeństwo zarówno na świecie, jak i w Polsce”.

Te prognozy potwierdził również w rozmowie z naszym serwisem gen. bryg. Karol Molenda, Dowódca Komponentu Wojsk Obrony Cyberprzestrzeni, który ocenił, że ze względu na trwającą rosyjską inwazję na Ukrainie, poziom zagrożenia w cyberprzestrzeni także dla Polski stale się utrzymuje. „Jest bardzo duże prawdopodobieństwo dużego ataku w cyberprzestrzeni” – zaznaczył.

Zespół CSIRT GOV podkreśla, że prognozy na przyszłość nie mogą być optymistyczne, ponieważ metody i techniki wykorzystywane przez grupy APT „są ciągle rozwijane”. Chodzi m.in. o wykorzystywanie nowych podatności, stosowanie socjotechniki w kampaniach phishingowych i spear-phishingowych, co może skutkować nie tylko pozyskaniem haseł, uzyskaniem dostępu do poczty elektronicznej, ale do infekcji na o wiele większą skalę – dotyczącej całej infrastruktury.

Specjaliści ds. cyberbezpieczeństwa systemów rządowych zalecają, by zachować „szczególną czujność”, kiedy otrzymuje się wiadomości rzekomo odwołujące się do „nadzwyczajnych informacji, zawierające odnośniki prowadzące do nieznanych stron internetowych czy załączniki w nietypowych formatach”.

Inną wskazówką jest aktualizacja oprogramowania typu endpoint protection w zakresie nowych wzorców ataków, a także aktualizowanie systemów DLP (system zapobiegania wyciekom danych – red.) pod kątem nowych rodzajów prób przesyłania załączników poczty elektronicznej czy pobierania plików.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].