Ataki rosyjskich cyberszpiegów na polskie instytucje rządowe

Nie tylko Chińczycy i Amerykanie włamują się do komputerów obcych rządów, by wykraść z nich informacje. Najnowszy  raport wskazuje na działania rosyjskiej grupy cyberprzestępców, których jednym z celów były i są polskie instytucje rządowe, w tym MON.

Firma FireEye, specjalizująca się w wykrywaniu elektronicznych intruzów, opublikowała dzisiaj raport (PDF) na temat grupy cyberprzestępców, określonych mianem APT28. Wiele wskazuje na to, że są to Rosjanie, a w zakresie ich bezpośredniego zainteresowania (i prawdopodobnie przynajmniej częściowo udanych ataków) znajdują się także polskie ministerstwa.

APT28 od 2007

FireEye twierdzi, że ślady działalności grupy APT28 sięgają roku 2007 (pewne aspekty wskazują nawet na rok 2004). Grupa ta konsekwentnie stosuje podobne metody działania, rozwija kolejne wersje używanego oprogramowania i regularnie atakuje zbliżone cele. Biorąc pod uwagę poziom zaawansowania używanych technik, modułowość i jakość stosowanego oprogramowania i sposób działania należy sądzić, że grupa jest dobrze zorganizowana i składa się z przyzwoitej klasy fachowców. Wskazuje to na istnienie organizacji, która wspiera i finansuje działania grupy. Biorąc pod uwagę chociażby listę celów trudno znaleźć innego sponsora niż Rosję.

Co ciekawe, wiele wskazuje na to, że atakujący traktują swoją działalność jako główną formę zatrudnienia – 96% próbek ich oprogramowania zostało skompilowane między poniedziałkiem a piątkiem a 89% między 8 rano a 6 wieczorem czasu UTC+4, obowiązującego w Moskwie i Sankt Petersburgu.

Na liście najczęściej atakowanych celów znajdują się do tej pory przede wszystkim Gruzja oraz kraje z regionu Kaukazu, organizacje rządowe i wojskowe z Europy Wschodniej oraz NATO i organizacje wojskowe z Europy Zachodniej. Najciekawsze są jednak informacje wskazujące na cele w Polsce.

Polska na celowniku włamywaczy

Próbka oprogramowania „rozsyłanego do instytucji rządowych” została poddana analizie w sierpniu 2014 przez polską firmę Prevenity. Opublikowane przez Polaków sumy kontrolne zidentyfikowanych plików jednoznacznie wskazały autorom raportu, że złośliwe oprogramowanie było częścią kampanii APT28.

Z raportu Prevenity dowiadujemy się, że infekcja następowała poprzez wiadomości poczty elektronicznej z dołączonym plikiem MHT. Wykorzystywał on błąd w kontrolce ActiveX (MS12-27). Po uruchomieniu generował plik MH17.doc otwierany, by zmylić użytkownika oraz wykonywał właściwy plik DLL. Treść wiadomości sugerowała, że w załączeniu znajduje się raport na temat samolotu Malaysia Airlines zestrzelonego nad terytorium Ukrainy.

Dokument wyświetlany jako rzekomy załącznik

Złośliwe oprogramowanie najpierw sprawdzało, czy na komputerze nie są uruchomione procesy mogące monitorować jego działanie (sniffery, debuggery itp.) a następnie tworzyło kolejny plik i dopisywało go do klucza rejestru odpowiedzialnego za uruchamianie programu przy starcie systemu. Ten program z kolei łączył się z serwerem C&C i pobierał z niego jeszcze jeden złośliwy moduł. Do serwera C&C były także przesyłane zaszyfrowane informacje opisujące zainfekowany system.

FireEye udało się zidentyfikować część domen, zarejestrowanych przez atakujących. Znajdują się wśród nich adresy, które wyraźnie wskazują na polskie cele ataków.

Domeny rejestrowane przez APT28

Atakujący zarejestrowali domenę

q0v.pl

mającą przypominać gov.pl i stworzyli subdomeny

mail.q0v.pl
poczta.mon.q0v.pl

wskazujące, że na liście ich celów znajdowało się również Ministerstwo Obrony Narodowej.

Doniesienia raportu nie są niczym zaskakującym – Polska jest naturalnym celem rosyjskiego wywiadu. Rzadko jednak mamy okazję poznać choć niektóre szczegóły dotyczące przeprowadzanych ataków.

Czytelnikom dziękujemy za podesłanie informacji o raporcie.