Reklama

Cyberbezpieczeństwo

Stopień alarmowy ALFA-CRP na terenie całego kraju a sytuacja na Ukrainie. Wyjaśniamy

Autor. Mstyslav Chernov/Wikimedia Commons/CC 3.0

We wtorek premier Mateusz Morawiecki podpisał zarządzenie wprowadzające pierwszy stopień alarmowy ALFA-CRP na terenie całego kraju. Co jest tego powodem? Ma to ścisły związek z sytuacją na Ukrainie i cyberatakiem do jakiego doszło pod koniec ubiegłego tygodnia – wynika z naszych informacji.

Stopień alarmowy obowiązuje od wtorku 18 stycznia (od godz. 23:59) do niedzieli 23 stycznia 2022 r. (do godziny 23:59). Jak już informowaliśmy, oznacza to, że administracja publiczna jest zobowiązana do prowadzenia wzmożonego monitoringu stanu bezpieczeństwa systemów teleinformatycznych.

Instytucje publiczne będą m.in. monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej - podano w komunikacie.

Co jest powodem wprowadzenia pierwszego stopnia alarmowego ALFA-CRP na terenie całego kraju? Jak nieoficjalnie mówią nam nasze źródła, ma to ścisły związek z sytuacją na Ukrainie i cyberatakiem, do jakiego doszło pod koniec ubiegłego tygodnia. Przypomnijmy, że w wyniku ataku na strony organów rządowych, do którego doszło nocą z czwartku na piątek, ucierpiało ok. 70 witryn różnych struktur szczebla ogólnokrajowego i regionalnego.

Ukraina najpierw podejrzewała, że to grupa cyberprzestępców powiązana z białoruskim wywiadem odpowiada za cyberatak, w niedzielę wskazała jednak na Rosję.

Jako pierwsi opisywaliśmy, że w komunikacie, który cyberprzestępcy po sobie pozostawili, zamieszczono treści, które miały w oczywisty sposób przypisywać sprawstwo cyberataku Polakom.

Ostrzeżenie Microsoft

Natomiast Microsoft już w niedzielę ostrzegał, że cyberatak może okazać się destrukcyjny i wpłynąć na większą liczbę organizacji, niż początkowo się obawiano. Amerykański gigant oprogramowania dodał, że kontynuuje analizę złośliwego oprogramowania i ostrzegł, że może uniemożliwić działanie rządowej infrastruktury cyfrowej. Ostrzeżenie dotyczy także polskich firm, współpracujących z ukraińskimi organizacjami i podmiotami, które w tej sytuacji mogą być szczególnie narażone na atak.

Czytaj też

Microsoft Threat Intelligence Center (MSTIC) oceniło, że złośliwe oprogramowanie (które zostało zaprojektowane tak, aby wyglądać na ransomware), w rzeczywistości nie posiada mechanizmu odzyskiwania danych. Zostało więc utworzone w celach destrukcyjnych (wiper), których efektem jest uniemożliwienie działania urządzeń docelowych.

Ukraina a polska cyberprzestrzeń - powiązania

Jaki związek ma wprowadzenie pierwszego stopnia alarmowego ALFA-CRP, sytuacja na Ukrainie a wzmożony monitoring stanu bezpieczeństwa systemów teleinformatycznych w polskiej cyberprzestrzeni?

„Chociaż to najniższy stopień alertu, to ryzyko cyberataku na Polskę jest realne - dowodzi tego m.in. wydarzenie z ubiegłego tygodnia, kiedy Polska stała się celem prowokacji w ramach operacji informacyjnej połączonej z cyberatakiem na Ukrainę” – wyjaśnia starsza redaktorka CyberDefence24.pl Małgorzata Fraser.

Jak dodaje, jeśli istotnie dojdzie do eskalacji działań na Ukrainie i będą miały one swoje odbicie w cyberprzestrzeni a Polska będzie jednym z ich celów, potencjalny cyberatak może oznaczać np. paraliż polskiej administracji publicznej, ale też problemy dla sektora biznesowego.

„Warto przypomnieć sobie, jak wyglądały skutki ataku NotPetya z 2017 roku, który choć był wycelowany przede wszystkim w Ukrainę, dotknął również podmioty z Polski, Francji, Wielkiej Brytanii i innych krajów” – przypomina nasza redaktorka.

Czytaj też

Komentarz Fraser na temat sytuacji na Ukrainie oraz tego, jaki ma to związek z polską cyberprzestrzenią będziecie mogli wysłuchać w środę 19 stycznia w Radiu 357 o godzinie 16.00.

Cyberatak na Ukrainę. Szczegóły

Służba Bezpieczeństwa Ukrainy (SBU) podała, że w ubiegłym roku doszło do ponad 2 tysięcy cyberataków na ukraińskie strony rządowe i obiekty infrastruktury krytycznej.

Informacje opublikowane przez CSIRT MON potwierdzają, że w nocy z dnia 13 na 14 stycznia 2022 r. doszło do naruszenia bezpieczeństwa i integralności wielu ukraińskich serwisów rządowych, a w wyniku ataku został również odcięty dostęp do platformy Diia (to odpowiednik polskiej aplikacji mObywatel). Do ataku wykorzystano podatność aplikacji October CMS, służącej do zarządzania zawartością serwisów.

Analiza wykazała, że atak na ukraińskie strony rządowe miał także na celu odwrócenie uwagi od działań polegających na wykorzystaniu przez atakującego złośliwego oprogramowania, którego celem było zniszczenie danych, jakie znajdowały się na zainfekowanym urządzeniu. Te same próbki malware zostały wykryte również w wielu organizacjach rządowych, organizacjach non-profit oraz sieciach firm prywatnych na Ukrainie.

Metadane pliku wskazywały na parking SGH

Z oświadczenia opublikowanego przez ukraiński CERT wynikało, że do ataku prawdopodobnie wykorzystano podatność platformy Octobercms, która służyła do zarządzania zawartością stron internetowych. Jak podano, w podatnych wersjach pakietu October, system atakujący może zażądać zresetowania hasła do konta, a później uzyskać do niego dostęp za pomocą specjalnie spreparowanego żądania. Błąd ten miał zostać już naprawiony.

Tak, jak informowaliśmy, atak polegał także na podmianie zawartości strony na witrynach rządowych, komunikat ten był plikiem graficznym i zawierał treść napisaną w języku ukraińskim, rosyjskim i polskim. Jak odkryto, w metadanych tego pliku graficznego zawarto dane geolokalizacyjne, które wskazywały na parking Szkoły Głównej Handlowej w Warszawie. Jednak trzeba pamiętać, że powyższe dane w pliku zostały prawdopodobnie dodane ręcznie.

CSIRT MON wskazał również, że według Zastępcy Sekretarza Rady Bezpieczeństwa Narodowego i Obrony Ukrainy Serhija Demediuka za atak może być odpowiedzialna grupa UNC1151, a złośliwe oprogramowanie wykorzystane do niszczenia danych przypomina swoją charakterystyką narzędzia wykorzystywane przez grupę APT29, powiązaną z Służbą Wywiadu Zagranicznego Federacji Rosyjskiej.

„Na szczególną uwagę zasługuje fakt spreparowania przez atakującego metadanych w pliku graficznym wykorzystanym do skompromitowania (stron rządowych Ukrainy – red.). Lokalizacja kryjąca się pod podanymi współrzędnymi wskazuje na obszar Szkoły Głównej Handlowej. CSIRT MON podejrzewa, że prawdziwą intencją adwersarza było wykorzystanie geolokalizacji Sztabu Generalnego Wojska Polskiego, aby naprowadzić potencjalnych analityków i opinię publiczną na fałszywy, kontrowersyjny trop” – czytamy w komunikacie CSIRT MON.

Ostrzeżenie CSIRT MON

Zespół CSIRT MON w związku z sytuacją panującą na Ukrainie także ostrzega o potencjalnym ryzyku rozszerzenia ataku na inne kraje regionu (w tym Polskę) i zaleca „wzmożenie działań prowadzących do zapewnienia bezpieczeństwa systemów teleinformatycznych wykorzystywanych do świadczenia usług kluczowych i stanowiących infrastrukturę krytyczną”.

W poniedziałek, 17 stycznia ukraińska służba SBU poinformowała, że 95 proc. spośród wszystkich zaatakowanych serwisów WWW zostało przywróconych do funkcjonowania.

W związku z wyżej opisanym atakiem, CSIRT MON wraz z CSIRT NASK oraz CSIRT GOV prowadzi prace nad analizą złośliwego oprogramowania wykorzystanego do wskaznego ataku. Ze wstępnych ustaleń wynika, że złośliwe oprogramowanie to co najmniej trzy różne moduły (pliki wykonywalne), które uruchamiane są na komputerze ofiary w ściśle określonej kolejności.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.

Reklama
Reklama
Reklama

Komentarze