szukaj

27.11.2018 | 17:00

avatar

Adam Haertle

Dziwny atak – nie atak trafia na skrzynki polskich urzędów

Dzisiaj koło południa do skrzynek polskich urzędników trafiły dwa dziwne e-maile. Na pierwszy rzut oka wyglądały na bardzo sprytny atak, ale nie widać celu atakujących innego niż testowanie świadomości urzędników. Ktoś się zatem bawi – lub pracuje.

Otrzymaliśmy zgłoszenie od jednego z Czytelników, który otrzymał dwa e-maile, jednego po drugim. Czytelnik pracuje w administracji rządowej, a e-maile były faktycznie ciekawe. Przeanalizowaliśmy je – jeśli to atak, to chyba nieudany, choć bardzo ładny.

Dwa e-maile

Pierwsza wiadomość, która dotarła do Czytelnika, wyglądała następująco:

Ostrzeżenie o fałszywym portalu – super! Tylko kto je wysłał? Polskie Centrum Cyberbezpieczeństwa? Chyba nie nadążamy za tymi nowymi tworami. Sama wiadomość była ciekawa, ale jeszcze ciekawsza była kolejna – trzy minuty później.

Atak, przed którym ostrzegała pierwsza wiadomość, nagle się zmaterializował. Wow. Zbieg okoliczności? Nie sądzimy…

Kto za tym stoi

Spędziliśmy ostatnią godzinę, szukając sygnałów, kto stoi za atakiem i do czego dąży. Dalej nie wiemy. Strona m-urzednik.pl wygląda średnio wiarygodnie:

Czy może chodzić o wyłudzenie danych urzędników? Raczej nie, chyba że będzie to efekt uboczny. Autorom wiadomości chodzi zapewne o pobranie pliku – „skanera” – z pierwszego linku. Plik udało nam się pobrać i przeanalizować – nie wygląda, by robił cokolwiek złego…

Jedyna jego funkcja to połączenie do domeny plcyber.pl – nie robi niczego innego. Nie czyta, nie pisze, nie modyfikuje, nie pobiera… Można w zasadzie powiedzieć, że jest niewinny.

Gdzie tu sens, gdzie logika?

Domeny atakującego ukryto za Cloudflare. Kod Google Analytics prowadzi do niepowiązanej setki polskich witryn. Jedyne, co widzimy, to prawdopodobnie unikatowe linki do pobrania „złośliwego” pliku (ślady ich pozostały na VirusTotalu). Mamy zatem atak bez ataku – lub atak bardzo wyrafinowany, gdzie tylko wybrane ofiary są infekowane właściwym złośliwym oprogramowaniem, a reszta dla niepoznaki dostaje niewinne pliki udające skanery antywirusowe. A może chodziło jednak o zbieranie danych? Nie wiemy. Wygląda bardzo ciekawie. Na pewno atakującemu można pogratulować techniki „na dwa e-maile” – pewnie była skuteczna.

Aktualizacja 17:30

Otrzymaliśmy analizę kodu aplikacji. Wygląda na to, że łączy się ze swoim serwerem macierzystym i przesyła tam adres IP i MAC komputera – i tylko (lub aż) tyle.

Powrót

Komentarze

  • avatar
    2018.11.27 18:32 mała porada

    po co poruszać w emailach tematy centrum cyberbezpieczeństwa, hakerów, wirusów?
    ofiary zazwyczaj nie wierzą/nie wiedzą że hakerzy istnieją i nie mają najmniejszego pojęcia że w nieopłaconej fakturze może być trojan.
    więc po co im o tym przypominać? jak przeczytają takiego emaila to w głowie może się zaświecić jakaś lampka i mniejsze szanse że pobiorą.

    Odpowiedz
    • avatar
      2018.11.30 14:31 Pepe

      > po co poruszać w emailach tematy centrum cyberbezpieczeństwa,
      > hakerów, wirusów?
      > ofiary zazwyczaj nie wierzą/nie wiedzą że hakerzy istnieją
      > i nie mają najmniejszego pojęcia że w nieopłaconej fakturze
      > może być trojan.
      > więc po co im o tym przypominać? jak przeczytają takiego
      > emaila to w głowie może się zaświecić jakaś lampka i mniejsze
      > szanse że pobiorą.

      Ależ nie: obecnie ludzie w większości coś już słyszeli,
      teraz dostają potwierdzenie, że coś dobrze słyszeli – pierwszy email straszy, jest „narodowy”, ładny, z godłem.
      Drugi utwierdza w przekonaniu, że coś jest na rzeczy…
      Właśnie takie niezorientowane ofiary będą klikać. Tacy co mają rozeznanie, nie klikną i wcale nie są targetem. Złoczyńców ani trochę nie obchodzą, oni pracują nad zwiększeniem prawdopodobieństwa że:
      a. kliknie ktoś konkretny
      albo b. kliknie jak najwięcej (mogą być niezorientowani).

      Odpowiedz
  • avatar
    2018.11.27 19:02 OlgiertHalsky

    Czy wasi analitycy nie mogą tego przeanalizować ? Procmon niczego niewykazal ? Po tym jak zakazano assemblera ataki stają się tak wyrafinowane

    Odpowiedz
    • avatar
      2018.11.27 19:06 adamh

      Przecież przeanalizowali – nic nie robi oprócz raportowania.

      Odpowiedz
      • avatar
        2018.11.27 19:54 Duży Pies

        „przesyła tam adres IP i MAC komputera” – oczywiście to IP w (pod)sieci wewnętrznej przed NATowaniem. Hakier sniffuje, robi rekonesans?

        Odpowiedz
    • avatar
      2018.11.27 19:42 kapelan

      w jaki sposob, po co i kto zakazal assemblera?

      Odpowiedz
      • avatar
        2018.11.27 21:51 Jan

        assemblera zakazał Diabeł z Torunia

        Odpowiedz
        • avatar
          2018.11.28 07:40 kryptoesbek

          Nie ma Diabła z Torunia. Weź Pigułkę z Szuflady.

          Odpowiedz
  • avatar
    2018.11.27 20:57 marianZ

    W e-mailach powszechne są takie „ślepe strzały” – jakiś czas temu otrzymałem na służbowego, ale znanego na zewnątrz maila wiadomość rzekomo z rządowej brazylijskiej domeny (IP się mniej więcej zgadzał). Wiadomość była napisana translatorową polszczyzną i dotyczyła informacji, że aktualizują RoundCube’a i aby zgłaszać zmiany i nieprawidłowości. W stopce administratorzy pracodawcy, nic więcej. Żadnych załączników, żadnych linków, ba, nawet wiadomość nie w HTMLu tylko tekstowa.
    Podejrzewam, że liczą na to, że ktoś przez przeoczenie odpisze im z jakimś problemem i rozpoznają czy adres jest aktywny.

    Odpowiedz
    • avatar
      2018.11.27 21:09 dd

      jakby chodziło o sprawdzenie czy adres jest aktywny to wystarczyłby tracking pixel

      Odpowiedz
      • avatar
        2018.11.27 22:59 nazwa

        Tia… ;-)

        Odpowiedz
      • avatar
        2018.12.02 01:49 marianZ

        U mnie akurat sporo ludzi jest starej daty i służbowo mają maile tekstowe, stąd piksel nie załaduje się. Połowa używa kupa-klientów poczty bez renderingu HTML (usunięta wtyczka), część ma wykastrowanego RoundCube’a, część kastruje Thunderbirda.

        Odpowiedz
  • avatar
    2018.11.27 23:03 ​

    Może to pentest i sprawdzają kto pobrał i odpalił.

    Odpowiedz
  • avatar
    2018.11.27 23:18 dash

    Przeklejajcie treści wiadomości, bo czytają Was również niewidomi którzy zrzutó ekranu nie rozczytają.

    Odpowiedz
  • avatar
    2018.11.28 00:05 Tomasz

    sygnatura 'z powazaniem’ sugeruje, ze Tomasa juz wypuscili z puszki ;)

    Odpowiedz
  • avatar
    2018.11.28 00:17 Grzegorz

    A może to test bezpieczeństwa, sprawdzają kto się nabierze,ile osób, potem będą szkolenia itd.

    Odpowiedz
  • avatar
    2018.11.28 06:44 Radek

    Może audyt bezpieczeństwa sobie robią, a MAC i IP logują, żeby wiedzieć, który pracownik nie zdał.

    Odpowiedz
  • avatar
    2018.11.28 09:37 Mario

    Treningowa kampania „fiszingowa”…chętnie skontaktowałbym się z autorem bo sam mam problem z utworzeniem treści tych wiadomości (naleciałości z organizacji i brak perspektywy „z zewnątrz”) :-)

    Odpowiedz
    • avatar
      2018.11.29 07:37 Audytor

      Proponuję kontakt z autorami z ul. Kolskiej :-)
      a „ofiarami” są pracownicy gov.pl

      A BTW: jak ulał pasuje:
      Ooo
      Ale wkoło jest wesoło
      Ooo
      Jak naprawdę jest – nikt nie wie

      tylko ludzie robią z tego jazz! :O

      Odpowiedz
      • avatar
        2018.11.29 09:32 Mario

        A…racja, świeża domena :-) aż zapytam o „redaktora”…

        Odpowiedz
  • avatar
    2018.11.29 09:38 Jarek

    Nask + MC „Ćwiczenia reagowania na incydenty komputerowe w administracji rządowej” Wysilcie się trochę

    Odpowiedz
    • avatar
      2018.11.29 17:10 Rafał

      Ciekawa koncepcja i może być prawdziwa. Kilka dni temu przyszło pismo z MC promujące apkę mObywatel wysłane chyba do wszystkich resortów (rozdzielnika nie widziałem).

      Odpowiedz
      • avatar
        2018.11.29 18:29 Jarek

        Prawdziwa. Brałem w tym udział

        Odpowiedz
  • avatar
    2018.11.29 14:01 dav

    Pewnie przygotowują się ruskie trole do bardziej wyrafinowanych ataków i priorytetyzują sobie cele :(

    Odpowiedz
  • avatar
    2018.11.29 14:10 Dejv

    obstawiam ze chlopaki z NASK’u cus testuja/sprawdzaja.
    Lub cos bardziej wysublimowanego.

    Odpowiedz
  • avatar
    2018.11.29 18:29 asdfghaer

    Szczerze, wygląda trochę jak fałsywy phishing z KnowBe4, które dostajemy u mnie w korpo. Mają twoje dane logowania i wiadomo, kto dał się nabrać :D

    Odpowiedz
  • avatar
    2018.11.29 22:13 Po Co Ci To

    No jak w stopce jest adres Kolska coś tam, to chyba od razu wiadomo o co chodzi …
    Albo NASK albo … izba wytrzeźwień (ale to drugie to Kolska 1).

    Odpowiedz
    • avatar
      2018.11.30 16:37 Saq

      Akurat SODON jest na Kolskiej 2/4

      Odpowiedz
  • avatar
    2018.11.30 11:08 Robert

    Widać na pierwszy rzut oka, że to audyt. Pewnie wystarczyło dopytać w MC albo NASKu, ale przecież wyświetlenia i lajki same się nie nabiją.

    Odpowiedz
  • avatar
    2018.12.27 17:20 q

    Mi to bardziej wygląda tak, jakby ktoś przygotowywał materiały, przygotował kawałeczek kodu (test wersji, aktualizacja, pobranie nowszych binarek z serwera itp) i … testując konfig/kod przypadkiem wysłał wszystko w świat za wcześnie. Jakby to byl audyt, to po co ktoś by sobie, pisząc ten śmieciowy kawałek kodu, zadawał trud żeby sprawdzać „1.0”/throwException? To typowa zaślepka koderska na fragment 'under construction’. Przy audycie ktory miał tylko sprawdzić podatność, po co to by było?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Dziwny atak – nie atak trafia na skrzynki polskich urzędów

Komentarze