Sukces polskiego wojska. Wykryto wrogą operację w sieci

DKWOC, czyli Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni przekazało informację o udaremnieniu próby ataku na nasz kraj. Atak w cyberprzestrzeni miał opierać się na wykorzystaniu serwerów poczty Microsoft Exchange. Ostatnio zaobserwowano próby dokonania modyfikacji uprawnień folderów skrzynki pocztowej.

Z ekspertyzy Wojsk Obrony Cyberprzestrzeni wynika, że ofiary tego ataku znajdują się na terenie Polski, a wśród nich mogą być nie tylko przedstawiciele sektora publicznego, lecz również prywatnego. 

Jak konkretnie działa metoda, którą wykryło polskie wojsko? Pierwszy etap wykorzystuje ataki typu bruteforce celem uzyskania dostępu do skrzynki pocztowej, alternatywnie używa się podatności CVE-2023-23397. Następny krok polega na zmianie domyślnych wartości dających dostęp każdemu użytkownikowi do odczytywania plików i wiadomości w kliencie pocztowym danego użytkownika.

Jak podaje DKWOC, wykorzystanie protokołu Exchange Web Services (EWS) dało nieuprawniony dostęp do skrzynek pocztowych w ramach całej organizacji. Dostęp ten może być utrzymany nawet po utracie dostępu bezpośredniego. Atak był skierowany na skrzynki o "wysokiej wartości informacyjnej".

Skąd przypuszczenia, że to właśnie strona rosyjska odpowiada za atak i próbę uzyskania dostępu do zawartości skrzynek i przechowywanych tam informacji? Po pierwsze, wykrycie działań miało miejsce w czasie zwiększonej aktywności GRU, czyli rosyjskiego Głównego Zarządu Wywiadowczego. Od niego zależne są różne, niekiedy szeroko znane organizacje hakerskie i cyberprzestępcze.

Ważnym wskaźnikiem okazało się również coś innego. Chodzi o bardzo sprawne zmienienie i modyfikacja ustawień wielu skrzynek w krótkim czasie. DKWOC wyklucza w ten sposób możliwość ręcznej edycji uprawnień, a to oznacza, że proceder został wykonany maszynowo, na skutek działań hakerów.

Ta metoda z kolei bardzo mocno przypomina działania wykryte wcześniej w Ukrainie, co potwierdzają wywiady amerykańskie i brytyjskie. Okazuje się, że właśnie taką taktykę stosuje grupa APT28 (Fancy Bear), która jest powiązana z rosyjskim wywiadem. Pewnym jest, że adwersarz, czyli strona atakująca cechuje się wysokim poziomem wiedzy na temat architektury Microsoft Exchange.

Polskie Wojska Obrony Cyberprzestrzeni informują, że zaatakowane podmioty nadal mogą być narażone na nieprzyjacielskie działania w cyberprzestrzeni. Wydano też zestaw rekomendacji, które mają pomóc zwalczyć problem i zwiększyć bezpieczeństwo. Pochodzą one ze storny Wojska Polskiego:

1. Uruchomienie zestawu narzędzi udostępnionych przez DKWOC oraz wdrożenie środków zaradczych zgodnie z instrukcjami. Narzędzia oraz instrukcje znajdują się w załączniku ZIP.
2. Wdrożenie mechanizmów umożliwiających wykrycie połączeń do skrzynki pocztowej udostępniającej foldery za pomocą innej skrzynki pocztowej na podstawie dzienników zdarzeń z lokalizacji:
   a. %ExchangeInstallPath%Logging\HttpProxy\Ews\
   b. %ExchangeInstallPath%Logging\Ews\
   c.  %ExchangeInstallPath%logging\Mapihttp\Mailbox\
3. Weryfikacja kont posiadających przypisaną rolę ApplicationImpersonation[1].
4. Weryfikacja ustawień dotyczących delegacji uprawnień do skrzynek pocztowych.
5. Wdrożenie rekomendacji opisanych przez Microsoft  oraz służby USA i GBR w dokumencie
6. Audyt metod dostępu do poczty elektronicznej w celu identyfikacji potencjalnych wektorów ataku.

Są to oficjalne zalecenia, których nie warto ignorować.

WOC to specjalistyczny komponent Sił Zbrojnych RP, który został utworzony w pierwszej połowie 2022 roku. Głównym zadaniem tego rodzaju sił zbrojnych jest ochrona bezpieczeństwa państwa i obywateli w cyberprzestrzeni. W skład zadań wchodzi m.in. ochrona instytucji państwowych, administracyjnych i bezpieczeństwa publicznego.