AktualnośćPolskie instytucje rządowe celem APT28
Szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe było w tym tygodniu dystrybuowane przez grupę APT28, wiązaną ze służbami wywiadowczymi Rosji. Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON. CERT Polska ostrzega i zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy nie byli obiektem opisanego poniżej ataku.
Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności –powiedział Sebastian Kondraszuk, kierujący zespołem CERT Polska, działającym w NASK.
Jak wyglądał atak – analiza techniczna
Wskaźniki techniczne i podobieństwa do opisywanych w przeszłości ataków pozwoliły na identyfikację grupy APT28, stojącej za opisanymi niżej aktywnościami. Grupa ta jest kojarzona z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Pierwszy element kampanii prowadzonej przez APT28 to wysyłka wiadomości e-mail. Jej treść wykorzystuje elementy socjotechniki, które mają wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia w link.
Link kieruje do adresu w domenie run.mocky.io – to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany tylko do przekierowania na kolejny serwis – webhook.site. To również popularny adres wśród osób związanych z IT. Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji. To trend, który obserwujemy u wielu grup APT.
Z serwisu webhook.site zostaje ostatecznie pobrane archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć, bo zaczyna się od skrótu „IMG”.
Tak naprawdę archiwum zawiera trzy pliki. Gdy ofiara uruchomi plik (widoczny na zrzucie ekranowym), wykonywana jest seria skryptów, które mają na celu poznanie adresu IP urządzenia ofiary i listy plików – co pozwala ocenić, czy wybrany cel jest dla atakujących atrakcyjny. Jeśli okaże się interesujący, mają oni możliwość wykonania na komputerze ofiary dodatkowych, dowolnych działań.
Atakowany nie ma świadomości, co dzieje się z jego urządzeniem, ponieważ jednocześnie w przeglądarce wyświetlane są zdjęcia kobiety w bieliźnie, co ma uwiarygodnić narrację przesłaną przez atakujących w e-mailu.
CERT Polska pilnie ostrzega
Podstawowym celem tego komunikatu jest zakłócenie wrogich działań i umożliwienie wykrycia oraz analizy opisywanych działań. CERT Polska rekomenduje weryfikację przez administratorów sieci, czy pracownicy organizacji nie byli obiektem opisywanego ataku. Szczegółowe wskazówki w tym zakresie znajdują się w publikacji na stronie cert.pl.
Jeśli istnieje podejrzenie infekcji szkodliwym oprogramowaniem, kluczowe jest odłączenie urządzenia od sieci i niezwłoczny kontakt z właściwym zespołem CSIRT.
Wyróżnione aktualności
AktualnośćPedofilia w internecie kwitnie dzięki AI. Raport Dyżurnet.pl za 2025 rok
300 proc. rok do roku. O tyle wzrosła liczba materiałów wygenerowanych przez AI, które przedstawiają seksualne wykorzystanie dzieci. Znacząco rośnie udział komunikatorów internetowych w dystrybucji CSAM. O tym mówi raport roczny z działań Dyżurnet.pl - zespołu, który w ramach NASK przyjmuje i analizuje zgłoszenia związane z treściami nielegalnymi i szkodliwymi dla dzieci i młodzieży.
AktualnośćCentrum Cyberbezpieczeństwa NASK o krok bliżej
Ultranowoczesne Centrum Cyberbezpieczeństwa NASK powstanie na warszawskiej Pradze-Północ, a w nim m.in. laboratoria do rozwoju sztucznej inteligencji czy Centrum Odzyskiwania Danych. Instytut właśnie uzyskał decyzję o pozwoleniu na budowę CCN. To już tylko jeden krok od symbolicznego “wbicia łopaty” i – co za tym idzie – wzmocnienia krajowego systemu cyberbezpieczeństwa.
AktualnośćRodzina PLLuM znowu się powiększa. Polskie AI coraz silniejsze
Co łączy pismo z urzędu, firmową bazę wiedzy, pomocnika AI w banku i aplikację, która ma odpowiedzieć użytkownikowi prostym językiem?
AktualnośćNASK na Impact’26. Technologia po właściwej stronie
– W tym roku przyjechaliśmy na Impact z wyjątkową agendą, bo zależało nam na tym, aby w atrakcyjny i angażujący sposób opowiedzieć o tym, czym zajmujemy się na co dzień. Za nami inspirujące debaty poświęcone twórcom i sztucznej inteligencji, cyberbezpieczeństwu oraz wyzwaniom, jakie niesie cyfrowy świat – podsumowywał obecność NASK na Impact’26 szef instytutu Radosław Nielek.
Najnowsze aktualności
AktualnośćAdministracja bez papieru. EZD RP staje się nowym standardem
Ćwierć miliona ludzi i ponad trzy tysiące jednostek administracyjnych. Te liczby pokazują skalę wdrożeń EZD RP – pierwsza to użytkownicy, druga – liczba podmiotów, które z niego korzystają. System do elektronicznego zarządzania dokumentacją, stworzony przez NASK, to rewolucja w świecie administracji publicznej. Rewolucja, po którą sięga coraz więcej jednostek, a to najlepsze potwierdzenie jakości.
AktualnośćNie daj się oszukać „na Booking”! Zobacz, jak się chronić
Planowanie urlopu zaczyna się w sieci – od łatwego porównania ofert po szybką rezerwację noclegu. Wygoda ma jednak swoją cenę. W sezonie wakacyjnym rośnie aktywność oszustów, którzy próbują wykorzystać pośpiech i nieuwagę urlopowiczów. Można się jednak przed tym uchronić.
AktualnośćNaukowiec NASK przypilnuje AI w Brukseli – 3 pytania do Sebastiana Cygerta
Komisja Europejska powołała dr. inż. Sebastiana Cygerta, kierownika Zakładu Bezpieczeństwa i Przejrzystości Sztucznej Inteligencji NASK do Panelu naukowego ds. wdrażania AI Act. W 60-cio osobowym gremium znaleźli się naukowcy z całego świata, w tym m.in. kanadyjski profesor Yoshua Bengio – laureat prestiżowej Nagrody Turinga. Wszystko w trosce o bezpieczny rozwój sztucznej inteligencji.