Dziwny atak – nie atak trafia na skrzynki polskich urzędów


Dziwny atak – nie atak trafia na skrzynki polskich urzędów

Dzisiaj koło południa do skrzynek polskich urzędników trafiły dwa dziwne e-maile. Na pierwszy rzut oka wyglądały na bardzo sprytny atak, ale nie widać celu atakujących innego niż testowanie świadomości urzędników. Ktoś się zatem bawi – lub pracuje.

Otrzymaliśmy zgłoszenie od jednego z Czytelników, który otrzymał dwa e-maile, jednego po drugim. Czytelnik pracuje w administracji rządowej, a e-maile były faktycznie ciekawe. Przeanalizowaliśmy je – jeśli to atak, to chyba nieudany, choć bardzo ładny.

Dwa e-maile

Pierwsza wiadomość, która dotarła do Czytelnika, wyglądała następująco:

Ostrzeżenie o fałszywym portalu – super! Tylko kto je wysłał? Polskie Centrum Cyberbezpieczeństwa? Chyba nie nadążamy za tymi nowymi tworami. Sama wiadomość była ciekawa, ale jeszcze ciekawsza była kolejna – trzy minuty później.

Atak, przed którym ostrzegała pierwsza wiadomość, nagle się zmaterializował. Wow. Zbieg okoliczności? Nie sądzimy…

Kto za tym stoi

Spędziliśmy ostatnią godzinę, szukając sygnałów, kto stoi za atakiem i do czego dąży. Dalej nie wiemy. Strona m-urzednik.pl wygląda średnio wiarygodnie:

Czy może chodzić o wyłudzenie danych urzędników? Raczej nie, chyba że będzie to efekt uboczny. Autorom wiadomości chodzi zapewne o pobranie pliku – „skanera” – z pierwszego linku. Plik udało nam się pobrać i przeanalizować – nie wygląda, by robił cokolwiek złego…

Jedyna jego funkcja to połączenie do domeny plcyber.pl – nie robi niczego innego. Nie czyta, nie pisze, nie modyfikuje, nie pobiera… Można w zasadzie powiedzieć, że jest niewinny.

Gdzie tu sens, gdzie logika?

Domeny atakującego ukryto za Cloudflare. Kod Google Analytics prowadzi do niepowiązanej setki polskich witryn. Jedyne, co widzimy, to prawdopodobnie unikatowe linki do pobrania „złośliwego” pliku (ślady ich pozostały na VirusTotalu). Mamy zatem atak bez ataku – lub atak bardzo wyrafinowany, gdzie tylko wybrane ofiary są infekowane właściwym złośliwym oprogramowaniem, a reszta dla niepoznaki dostaje niewinne pliki udające skanery antywirusowe. A może chodziło jednak o zbieranie danych? Nie wiemy. Wygląda bardzo ciekawie. Na pewno atakującemu można pogratulować techniki „na dwa e-maile” – pewnie była skuteczna.

Aktualizacja 17:30

Otrzymaliśmy analizę kodu aplikacji. Wygląda na to, że łączy się ze swoim serwerem macierzystym i przesyła tam adres IP i MAC komputera – i tylko (lub aż) tyle.



Source link

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *