Jutro, w piątek 24 czerwca, miną 4 miesiące od ataku Rosji na Ukrainę. Tego militarnego, bowiem aktywności w cyberprzestrzeni zaczęły się znacznie wcześniej. Co więcej – ich celem bywają również Polacy. Tak jak w przypadku nowej kampanii phishingowej.

„Nuclear Terrorism A Very Real Threat.rtf”. Taki dokument trafia na komputery w krajach, będących celem APT 28 (Fancy Bear/Sofacy), finansowanej przez Rosję grupy, powiązanej z tamtejszym wywiadem GRU. Jeśli damy się przekonać socjotechnicznej sztuczce (w tak trudnym geopolitycznie okresie sam chętnie poczytałbym analizę nt. potencjalnych planów i zamiarów putina) i otworzymy dokument, dowiemy się, że faktycznie zawiera treść, jednak oprócz niej instaluje w tle złośliwe oprogramowanie CredoMap. Podatność dotyczy aplikacji Microsoft Office, w wersjach od 2013, do działania nie potrzebuje włączonej obsługi makr.

Co może się stać?

CredoMap to malware wyspecjalizowany w wykradaniu danych (w tym haseł i ciasteczek sesyjnych) z przeglądarek internetowych. Rosyjscy szpiedzy wykorzystają w tym celu podatność 0-Day Windowsa o nazwie „Follina”, pozwalającą na zdalne wykonanie kodu na urządzeniu ofiary po uruchomieniu przez nią odpowiednio spreparowanego pliku. Powiecie „przecież to tylko hasła!”. A ja powiem, że jeśli mamy w ręku czyjeś hasła, to, co możemy z nimi zrobić, limitowane jest wyłącznie naszą kreatywnością, możliwościami i finansami. Działającej od lat grupie, za którą stoi rosyjski wywiad, nie brakuje z tej listy niczego. A gdy mamy do czynienia z tak zgrabnie przygotowanym phishingiem kierunkowym (ang. spear phishing), bo akurat potencjalne ryzyko użycia przez Rosję broni atomowej interesuje (niemal) każdego – w Ukrainie, atakowanej nie tylko militarnie, może to niestety przynieść efekty.

Ale dlaczego my mamy się bać?

Bo jesteśmy państwem frontowym. To akurat oczywiste. Co więcej jednak, opublikowany wczoraj raport Microsoftu dowodzi, iż ostrze rosyjskiego „szpiegostwa strategicznego” dotknęło od wybuchu wojny 128 organizacji w 42 krajach wspierających Ukrainę!

Co robić? Przede wszystkim uważać! Nie dać się zmanipulować socjotechnicznym sztuczkom. Jeśli interesują nas opracowania na konkretny temat, nie czytajmy ich, gdy nagle wpadną w mailu z nieznanego adresu. Po prostu poszukajmy ich w sieci! No i nie zaszkodzi zaktualizować MS Office i poczytać o najnowszych aktualizacjach Microsoftu.

Jeśli czytacie nie tylko naszego bloga, ale i np. „sieciową literaturę bezpieczniacką”, mogliście trafić na artykuł o trojanie Lojax. To wyjątkowo złośliwe paskudztwo. Instaluje się jako moduł UEFI, co powoduje, że nie damy rady się go pozbyć reinstalując system, a nawet… wyrzucając twardy dysk. UEFI to następca BIOS – interfejsu między systemem operacyjnym i oprogramowaniem układowym. W skrócie – to jest to, co widzimy na ekranie jako pierwsze, gdy uruchamiamy komputer.

Cyberwojna, etap kolejny?

Według badaczy z firmy ESET znacząca większość zainfekowanych Lojaxem urządzeń znajduje się na terenie Polski. Fakt staje się jeszcze bardziej niepokojący, gdy okazuje się, że autorstwo tego złośnika przypisywana jest grupie APT28/FancyBear, otwarcie wiązanej z wywiadem wojskowym Rosji! Czyżby kolejny dowód na to, że opisywany przeze mnie na stronie CERT Orange Polska wykład z Security Case Study wcale nie jest abstrakcją?

Na razie cel infekcji nie jest znany, bowiem nie zanotowano złośliwego ruchu do/z zainfekowanych urządzeń. Jednak oczywiście domeny kojarzone z Lojaxem trafiły już na naszego sinkhole’a. Oznacza to, że zainfekowane urządzenia nie będą mogłby połączyć się z botmasterami. Jeśli macie wątpliwości, czy obawy a propos „stanu zdrowia” waszych komputerów – zajrzyjcie na stronę CyberTarczy.

Jutro, w piątek 24 czerwca, miną 4 miesiące od ataku Rosji na Ukrainę. Tego militarnego, bowiem aktywności w cyberprzestrzeni zaczęły się znacznie wcześniej. Co więcej – ich celem bywają również Polacy. Tak jak w przypadku nowej kampanii phishingowej.

„Nuclear Terrorism A Very Real Threat.rtf”. Taki dokument trafia na komputery w krajach, będących celem APT 28 (Fancy Bear/Sofacy), finansowanej przez Rosję grupy, powiązanej z tamtejszym wywiadem GRU. Jeśli damy się przekonać socjotechnicznej sztuczce (w tak trudnym geopolitycznie okresie sam chętnie poczytałbym analizę nt. potencjalnych planów i zamiarów putina) i otworzymy dokument, dowiemy się, że faktycznie zawiera treść, jednak oprócz niej instaluje w tle złośliwe oprogramowanie CredoMap. Podatność dotyczy aplikacji Microsoft Office, w wersjach od 2013, do działania nie potrzebuje włączonej obsługi makr.

Co może się stać?

CredoMap to malware wyspecjalizowany w wykradaniu danych (w tym haseł i ciasteczek sesyjnych) z przeglądarek internetowych. Rosyjscy szpiedzy wykorzystają w tym celu podatność 0-Day Windowsa o nazwie „Follina”, pozwalającą na zdalne wykonanie kodu na urządzeniu ofiary po uruchomieniu przez nią odpowiednio spreparowanego pliku. Powiecie „przecież to tylko hasła!”. A ja powiem, że jeśli mamy w ręku czyjeś hasła, to, co możemy z nimi zrobić, limitowane jest wyłącznie naszą kreatywnością, możliwościami i finansami. Działającej od lat grupie, za którą stoi rosyjski wywiad, nie brakuje z tej listy niczego. A gdy mamy do czynienia z tak zgrabnie przygotowanym phishingiem kierunkowym (ang. spear phishing), bo akurat potencjalne ryzyko użycia przez Rosję broni atomowej interesuje (niemal) każdego – w Ukrainie, atakowanej nie tylko militarnie, może to niestety przynieść efekty.

Ale dlaczego my mamy się bać?

Bo jesteśmy państwem frontowym. To akurat oczywiste. Co więcej jednak, opublikowany wczoraj raport Microsoftu dowodzi, iż ostrze rosyjskiego „szpiegostwa strategicznego” dotknęło od wybuchu wojny 128 organizacji w 42 krajach wspierających Ukrainę!

Co robić? Przede wszystkim uważać! Nie dać się zmanipulować socjotechnicznym sztuczkom. Jeśli interesują nas opracowania na konkretny temat, nie czytajmy ich, gdy nagle wpadną w mailu z nieznanego adresu. Po prostu poszukajmy ich w sieci! No i nie zaszkodzi zaktualizować MS Office i poczytać o najnowszych aktualizacjach Microsoftu.

Od razu powiem, że dramatu nie ma, FUD-u siać nie zamierzam, tym niemniej w niedzielę część internautów może ku swojemu zaskoczeniu zobaczyć, że choć teoretycznie ma dostęp do sieci, nie może z niej skorzystać. Powodem może być trojan DNS Changer.

O DNS Changerze pisaliśmy już w marcu. W skrócie – zamienia (czy raczej zamieniał) on bez wiedzy użytkownika zapisane w ustawieniach komputera i programów adresy IP serwerów DNS, dzięki czemu przestępcy mogli np. podstawiać własne strony w miejsce prawdziwych. Botnet rozbiła FBI, a z racji ogromnej liczby zainfekowanych komputerów podmieniła serwery DNS cyber-złodziei na własne. Dlaczego zatem wracamy z tematem na łamy Bloga Technologicznego? Ano dlatego, że Amerykanie nie mogą utrzymywać podstawionych serwerów do końca świata – tym bardziej, że już raz przekładali datę ich wyłączenia. Teraz już zmian nie będzie – 8 lipca nawet kilkanaście procent internautów może nagle stracić dostęp do sieci.

Może, ale nie musi. Nasz krajowy CERT pokaże Wam, czy macie ustawione dobre DNSy, ale możecie to równie dobrze sprawdzić sami. W przypadku Windows XP należy wybrać Start/Ustawienia/Połączenia sieciowe. Tam zaznaczcie połączenie, przy którym widnieje stan „Połączono” i prawym przyciskiem myszy wybierzcie Właściwości. W oknie, które się pokaże, należy zaznaczyć Internet Protocol (TCP/IP) i znów wybrać Właściwości. Jeśli w oknie, które się pokaże, w zaznaczonym miejscu zobaczycie któryś z adresów z poniższej tabeli, oznacza, że padliście ofiarą DNS Changera.

Zakres adresów serwerów DNS botnetu DNS Changer

Co teraz? Przeskanujcie oczywiście komputer oprogramowaniem antywirusowym, a potem (jeśli korzystacie z Neostrady) wpisać jako DNS podstawowy adres 194.204.159.1, zaś DNS alternatywny to 194.204.152.34.