Choć „wielka cyberwojna ojczyźniana” nie wybuchła, to działań w strefie cyber jest bardzo dużo, a spora ich część to różnego rodzaju ataki na polskie podmioty, zaangażowane w pomoc Ukrainie. Poniżej pokazujemy przykład jednego z takich działań.
Jeden z naszych Czytelników podesłał nam e-maila, który sprawiał wrażenie ataku – i wszystko wskazuje na to, że atakiem jest, chociaż chyba nie do końca takim, jak się spodziewaliśmy. Zobaczcie zresztą sami.
E-mail trochę podejrzany, nadawca bardzo
Powód, dla jakiego nasz Czytelnik zdecydował się podesłać nam otrzymanego e-maila, leżał przede wszystkim w nagłówku, a konkretnie w adresie nadawcy:
sekretariat.dsmim [email protected]
Login się zgadza – faktycznie Departament Spraw Międzynarodowych i Migracji MSWiA takim się posługuje, jednak domena była nieprawidłowa. Ktoś postarał się chociaż na tyle, by w nazwie domeny znalazł się prawidłowy skrót, ale trochę daleko było do mswia.gov.pl. Sama domena została utworzona dwa dni temu i schowana za Cloudflare.
Treść wyglądała następująco (wersja tekstowa poniżej):
Temat: Departament Spraw Międzynarodowych i Migracji Ministerstwa Spraw Wewnętrznych i Administracji informuje
Treść:
Departament Spraw Międzynarodowych i Migracji Ministerstwa Spraw Wewnętrznych i Administracji informuje
W celu udzielenia pomocy ukraińskiemu reprezentacji dyplomatycznej w Warszawie organizowany jest zbiór informacji o obywatelach Ukrainy zamieszkałych na terytorium Rzeczypospolitej Polskiej.
Zgodnie z proponowanym oświadczeniem (patrz poniżej) posiadacze mieszkań muszą podać informacje o ukraińskich uchodźcach mieszkających w wynajmowanych kwaterach. Dane prosimy wysyłać na skrzynkę e-mail [email protected] Ambasady Ukrainy w RP.
W przypadku niedostarczenia informacji o obywatelach Ukrainy na właścicieli mieszkań zostanie nałożona grzywna zgodnie z Kodeksem administracyjnym RP.
Niezbędne, obowiązkowe jest również powiadomienie o znanych faktach zamieszkania uchodźców z Ukrainy na terytorium Rzeczypospolitej Polskiej.
Departament Spraw Międzynarodowych i Migracji
Kontakt
telefon: 22 601 41 20
fax: +48 22 601 41 06
email: [email protected]
Język jest trochę koślawy, dobór słów mało naturalny i nie brzmi jak „polski urzędowy”, ale poza tym brak literówek, błędów ortograficznych czy słów w złym kontekście – oprócz „kodeks administracyjny”, który pasuje do nieudanego tłumaczenia „Административный кодекс”. W e-mailu znajduje się także załącznik Worda o nazwie:
oświadczenie_o_cudzoziemcach_przebywających_w_rp.doc
Załącznik, w którym nie ma nic złośliwego?
Większość z Was pewnie spodziewa się teraz makro / exploita / innego rodzaju ataku w samym załączniku. Musimy się z Wami zgodzić i jednocześnie Was rozczarować. Długo patrzyliśmy (nie tylko swoimi oczami), ale niczego złośliwego w załączniku nie wypatrzyliśmy.
Co ciekawe, chociaż dokument wygląda bardzo jak urzędowy formularz, nie znaleźliśmy oficjalnego dokumentu o identycznej treści. Pewne elementy pochodzą z wniosku o pobyt czasowy cudzoziemca w Polsce, ale dokument został znacząco przerobiony. Co ciekawe, został w nim mały artefakt rosyjskojęzyczny:
Czym w takim razie jest ten e-mail?
Ustalmy najpierw, czym nie jest:
- nie jest to próba infekcji komputera, ponieważ e-mail nie zawiera złośliwego oprogramowania,
- nie jest to próba wyłudzenia danych, ponieważ instrukcja mówi, że wypełniony formularz należy wysłać na prawdziwy adres ambasady,
- nie jest to też raczej pierwszy krok do dalszej infekcji, bo nie ma żadnego mechanizmu nakłaniającego odbiorcę wiadomości do kontaktu z nadawcą (podano dane kontaktowe prawdziwego MSWiA).
Co zatem pozostaje? Chyba tylko dezinformacja i sianie zamieszania. Dokładanie pracy wolontariuszom zajmującym się pomocą obywatelom Ukrainy i irytowanie osób wspierających uchodźców także znajduje się na liście celów zbrodniarzy wojennych z Rosji.
Komentarze
Może też tak być, że kolejny mail z tej samej domeny już taki niegroźny nie będzie.
Dlatego też o tym piszemy – ale mamy też nadzieję, że domena dzięki temu jest już „spalona”.
A może pomylili się i dali „zły załącznik” bez złośliwego makra, a ten ze złośliwym makrem sobie został spokojnie na hakerskim pulpicie? Złole też czasem się mylą.
Albo wyłudzenie danych, bo ludzie nieuważnie czytają i po prostu wyślą wypełniony załącznik na tego własnie maila z sekretariatu?
Nie jest to jedyna domena, z której te maile idą, ja dostałem z mswia-gov-pl.online
A może mają „nielegalnego” w abasadzie UA.
…lub wgląd do tej skrzynki
Co jest prostsze: zainstalowanie agenta w ambasadzie głównego wroga czy wskazanie innego adresu email?
Dużo prostsze jest samo wysłanie maila. Tych danych przecież nikt nie będzie czytał. A wewnętrzne polowanie na czarownice, zwłaszcza przy braku czarownic, będzie długotrwałe i mocno dezorganizujące.
To, że odpowiedzi będą wysyłane na prawidłowy adres email nie oznacza, że nie będą czytane przez nadawcę tej wiadomości.
Dlatego zapewne odpowiednia służba już od jakiegoś czasu monitoruje ten adres dodatkowo…
Oby po paru dniach się nie okazało, że to naprawdę Ukraińcy szukają swoich.
Alias :dsmim’ na pierwszy rzut oka wygląda poprawnie, ale domena @mswia.pw- jakoś tak 'z czapy’. Która polska instytucja wykorzysta domenę inną niż’ gov.pl’? Co ma wspólnego '*.pw’ z '*.gov’? Mniej więcej tyleż ileż Lucyfer z papieżem….