27.11.2018 | 17:00

Adam Haertle

Dziwny atak – nie atak trafia na skrzynki polskich urzędów

Dzisiaj koło południa do skrzynek polskich urzędników trafiły dwa dziwne e-maile. Na pierwszy rzut oka wyglądały na bardzo sprytny atak, ale nie widać celu atakujących innego niż testowanie świadomości urzędników. Ktoś się zatem bawi – lub pracuje.

Otrzymaliśmy zgłoszenie od jednego z Czytelników, który otrzymał dwa e-maile, jednego po drugim. Czytelnik pracuje w administracji rządowej, a e-maile były faktycznie ciekawe. Przeanalizowaliśmy je – jeśli to atak, to chyba nieudany, choć bardzo ładny.

Dwa e-maile

Pierwsza wiadomość, która dotarła do Czytelnika, wyglądała następująco:

Ostrzeżenie o fałszywym portalu – super! Tylko kto je wysłał? Polskie Centrum Cyberbezpieczeństwa? Chyba nie nadążamy za tymi nowymi tworami. Sama wiadomość była ciekawa, ale jeszcze ciekawsza była kolejna – trzy minuty później.

Atak, przed którym ostrzegała pierwsza wiadomość, nagle się zmaterializował. Wow. Zbieg okoliczności? Nie sądzimy…

Kto za tym stoi

Spędziliśmy ostatnią godzinę, szukając sygnałów, kto stoi za atakiem i do czego dąży. Dalej nie wiemy. Strona m-urzednik.pl wygląda średnio wiarygodnie:

Czy może chodzić o wyłudzenie danych urzędników? Raczej nie, chyba że będzie to efekt uboczny. Autorom wiadomości chodzi zapewne o pobranie pliku – „skanera” – z pierwszego linku. Plik udało nam się pobrać i przeanalizować – nie wygląda, by robił cokolwiek złego…

Jedyna jego funkcja to połączenie do domeny plcyber.pl – nie robi niczego innego. Nie czyta, nie pisze, nie modyfikuje, nie pobiera… Można w zasadzie powiedzieć, że jest niewinny.

Gdzie tu sens, gdzie logika?

Domeny atakującego ukryto za Cloudflare. Kod Google Analytics prowadzi do niepowiązanej setki polskich witryn. Jedyne, co widzimy, to prawdopodobnie unikatowe linki do pobrania „złośliwego” pliku (ślady ich pozostały na VirusTotalu). Mamy zatem atak bez ataku – lub atak bardzo wyrafinowany, gdzie tylko wybrane ofiary są infekowane właściwym złośliwym oprogramowaniem, a reszta dla niepoznaki dostaje niewinne pliki udające skanery antywirusowe. A może chodziło jednak o zbieranie danych? Nie wiemy. Wygląda bardzo ciekawie. Na pewno atakującemu można pogratulować techniki „na dwa e-maile” – pewnie była skuteczna.

Aktualizacja 17:30

Otrzymaliśmy analizę kodu aplikacji. Wygląda na to, że łączy się ze swoim serwerem macierzystym i przesyła tam adres IP i MAC komputera – i tylko (lub aż) tyle.

Powrót

Komentarze

  • 2018.11.27 18:32 mała porada

    po co poruszać w emailach tematy centrum cyberbezpieczeństwa, hakerów, wirusów?
    ofiary zazwyczaj nie wierzą/nie wiedzą że hakerzy istnieją i nie mają najmniejszego pojęcia że w nieopłaconej fakturze może być trojan.
    więc po co im o tym przypominać? jak przeczytają takiego emaila to w głowie może się zaświecić jakaś lampka i mniejsze szanse że pobiorą.

    Odpowiedz
    • 2018.11.30 14:31 Pepe

      > po co poruszać w emailach tematy centrum cyberbezpieczeństwa,
      > hakerów, wirusów?
      > ofiary zazwyczaj nie wierzą/nie wiedzą że hakerzy istnieją
      > i nie mają najmniejszego pojęcia że w nieopłaconej fakturze
      > może być trojan.
      > więc po co im o tym przypominać? jak przeczytają takiego
      > emaila to w głowie może się zaświecić jakaś lampka i mniejsze
      > szanse że pobiorą.

      Ależ nie: obecnie ludzie w większości coś już słyszeli,
      teraz dostają potwierdzenie, że coś dobrze słyszeli – pierwszy email straszy, jest „narodowy”, ładny, z godłem.
      Drugi utwierdza w przekonaniu, że coś jest na rzeczy…
      Właśnie takie niezorientowane ofiary będą klikać. Tacy co mają rozeznanie, nie klikną i wcale nie są targetem. Złoczyńców ani trochę nie obchodzą, oni pracują nad zwiększeniem prawdopodobieństwa że:
      a. kliknie ktoś konkretny
      albo b. kliknie jak najwięcej (mogą być niezorientowani).

      Odpowiedz
  • 2018.11.27 19:02 OlgiertHalsky

    Czy wasi analitycy nie mogą tego przeanalizować ? Procmon niczego niewykazal ? Po tym jak zakazano assemblera ataki stają się tak wyrafinowane

    Odpowiedz
    • 2018.11.27 19:06 adamh

      Przecież przeanalizowali – nic nie robi oprócz raportowania.

      Odpowiedz
      • 2018.11.27 19:54 Duży Pies

        „przesyła tam adres IP i MAC komputera” – oczywiście to IP w (pod)sieci wewnętrznej przed NATowaniem. Hakier sniffuje, robi rekonesans?

        Odpowiedz
    • 2018.11.27 19:42 kapelan

      w jaki sposob, po co i kto zakazal assemblera?

      Odpowiedz
      • 2018.11.27 21:51 Jan

        assemblera zakazał Diabeł z Torunia

        Odpowiedz
        • 2018.11.28 07:40 kryptoesbek

          Nie ma Diabła z Torunia. Weź Pigułkę z Szuflady.

          Odpowiedz
  • 2018.11.27 20:57 marianZ

    W e-mailach powszechne są takie „ślepe strzały” – jakiś czas temu otrzymałem na służbowego, ale znanego na zewnątrz maila wiadomość rzekomo z rządowej brazylijskiej domeny (IP się mniej więcej zgadzał). Wiadomość była napisana translatorową polszczyzną i dotyczyła informacji, że aktualizują RoundCube’a i aby zgłaszać zmiany i nieprawidłowości. W stopce administratorzy pracodawcy, nic więcej. Żadnych załączników, żadnych linków, ba, nawet wiadomość nie w HTMLu tylko tekstowa.
    Podejrzewam, że liczą na to, że ktoś przez przeoczenie odpisze im z jakimś problemem i rozpoznają czy adres jest aktywny.

    Odpowiedz
    • 2018.11.27 21:09 dd

      jakby chodziło o sprawdzenie czy adres jest aktywny to wystarczyłby tracking pixel

      Odpowiedz
      • 2018.11.27 22:59 nazwa

        Tia… ;-)

        Odpowiedz
      • 2018.12.02 01:49 marianZ

        U mnie akurat sporo ludzi jest starej daty i służbowo mają maile tekstowe, stąd piksel nie załaduje się. Połowa używa kupa-klientów poczty bez renderingu HTML (usunięta wtyczka), część ma wykastrowanego RoundCube’a, część kastruje Thunderbirda.

        Odpowiedz
  • 2018.11.27 23:03 ​

    Może to pentest i sprawdzają kto pobrał i odpalił.

    Odpowiedz
  • 2018.11.27 23:18 dash

    Przeklejajcie treści wiadomości, bo czytają Was również niewidomi którzy zrzutó ekranu nie rozczytają.

    Odpowiedz
  • 2018.11.28 00:05 Tomasz

    sygnatura 'z powazaniem’ sugeruje, ze Tomasa juz wypuscili z puszki ;)

    Odpowiedz
  • 2018.11.28 00:17 Grzegorz

    A może to test bezpieczeństwa, sprawdzają kto się nabierze,ile osób, potem będą szkolenia itd.

    Odpowiedz
  • 2018.11.28 06:44 Radek

    Może audyt bezpieczeństwa sobie robią, a MAC i IP logują, żeby wiedzieć, który pracownik nie zdał.

    Odpowiedz
  • 2018.11.28 09:37 Mario

    Treningowa kampania „fiszingowa”…chętnie skontaktowałbym się z autorem bo sam mam problem z utworzeniem treści tych wiadomości (naleciałości z organizacji i brak perspektywy „z zewnątrz”) :-)

    Odpowiedz
    • 2018.11.29 07:37 Audytor

      Proponuję kontakt z autorami z ul. Kolskiej :-)
      a „ofiarami” są pracownicy gov.pl

      A BTW: jak ulał pasuje:
      Ooo
      Ale wkoło jest wesoło
      Ooo
      Jak naprawdę jest – nikt nie wie

      tylko ludzie robią z tego jazz! :O

      Odpowiedz
      • 2018.11.29 09:32 Mario

        A…racja, świeża domena :-) aż zapytam o „redaktora”…

        Odpowiedz
  • 2018.11.29 09:38 Jarek

    Nask + MC „Ćwiczenia reagowania na incydenty komputerowe w administracji rządowej” Wysilcie się trochę

    Odpowiedz
    • 2018.11.29 17:10 Rafał

      Ciekawa koncepcja i może być prawdziwa. Kilka dni temu przyszło pismo z MC promujące apkę mObywatel wysłane chyba do wszystkich resortów (rozdzielnika nie widziałem).

      Odpowiedz
      • 2018.11.29 18:29 Jarek

        Prawdziwa. Brałem w tym udział

        Odpowiedz
  • 2018.11.29 14:01 dav

    Pewnie przygotowują się ruskie trole do bardziej wyrafinowanych ataków i priorytetyzują sobie cele :(

    Odpowiedz
  • 2018.11.29 14:10 Dejv

    obstawiam ze chlopaki z NASK’u cus testuja/sprawdzaja.
    Lub cos bardziej wysublimowanego.

    Odpowiedz
  • 2018.11.29 18:29 asdfghaer

    Szczerze, wygląda trochę jak fałsywy phishing z KnowBe4, które dostajemy u mnie w korpo. Mają twoje dane logowania i wiadomo, kto dał się nabrać :D

    Odpowiedz
  • 2018.11.29 22:13 Po Co Ci To

    No jak w stopce jest adres Kolska coś tam, to chyba od razu wiadomo o co chodzi …
    Albo NASK albo … izba wytrzeźwień (ale to drugie to Kolska 1).

    Odpowiedz
    • 2018.11.30 16:37 Saq

      Akurat SODON jest na Kolskiej 2/4

      Odpowiedz
  • 2018.11.30 11:08 Robert

    Widać na pierwszy rzut oka, że to audyt. Pewnie wystarczyło dopytać w MC albo NASKu, ale przecież wyświetlenia i lajki same się nie nabiją.

    Odpowiedz
  • 2018.12.27 17:20 q

    Mi to bardziej wygląda tak, jakby ktoś przygotowywał materiały, przygotował kawałeczek kodu (test wersji, aktualizacja, pobranie nowszych binarek z serwera itp) i … testując konfig/kod przypadkiem wysłał wszystko w świat za wcześnie. Jakby to byl audyt, to po co ktoś by sobie, pisząc ten śmieciowy kawałek kodu, zadawał trud żeby sprawdzać „1.0”/throwException? To typowa zaślepka koderska na fragment 'under construction’. Przy audycie ktory miał tylko sprawdzić podatność, po co to by było?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Dziwny atak – nie atak trafia na skrzynki polskich urzędów

Komentarze