Sukces polskiego wojska. Wykryto wrogą operację w sieci

Dawid Szafraniak

Dawid Szafraniak

Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni poinformowało o wykryciu wrogiej operacji wymierzonej przeciwko Polsce. Okazuje się, że nieprzyjacielskie operacje mogą być powiązane z działaniami GRU, czyli Głównego Zarządu Wywiadowczego Federacji Rosyjskiej. Czy to oznacza, że udaremniono rosyjski atak na Polskę?

Wojska Obrony Cyberprzestrzeni wykryły atak w sieci.
Wojska Obrony Cyberprzestrzeni wykryły atak w sieci.123RF/PICSEL

Spis treści:

  1. Hakerzy atakują Polskę
  2. Atak rosyjskich hakerów?
  3. Cyberbezpieczeństwo Polski - co dalej?
  4. Czym są Wojska Obrony Cyberprzestrzeni?

Hakerzy atakują Polskę

DKWOC, czyli Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni przekazało informację o udaremnieniu próby ataku na nasz kraj. Atak w cyberprzestrzeni miał opierać się na wykorzystaniu serwerów poczty Microsoft Exchange. Ostatnio zaobserwowano próby dokonania modyfikacji uprawnień folderów skrzynki pocztowej.

Z ekspertyzy Wojsk Obrony Cyberprzestrzeni wynika, że ofiary tego ataku znajdują się na terenie Polski, a wśród nich mogą być nie tylko przedstawiciele sektora publicznego, lecz również prywatnego.

DKWOC ocenia, że wspomniana technika (MITRE ATT&CK – T1098.002) mogła zostać wykorzystana wobec licznych podmiotów krajowych i zagranicznych, zarówno rządowych jak i sektora prywatnego, ze szczególnym uwzględnieniem tych, które stanowiły cele ataków w kampanii Silence oraz incydentów związanych z kompromitacją serwerów pocztowych Microsoft Exchange.
DKWOC

Jak konkretnie działa metoda, którą wykryło polskie wojsko? Pierwszy etap wykorzystuje ataki typu bruteforce celem uzyskania dostępu do skrzynki pocztowej, alternatywnie używa się podatności CVE-2023-23397. Następny krok polega na zmianie domyślnych wartości dających dostęp każdemu użytkownikowi do odczytywania plików i wiadomości w kliencie pocztowym danego użytkownika.

Jak podaje DKWOC, wykorzystanie protokołu Exchange Web Services (EWS) dało nieuprawniony dostęp do skrzynek pocztowych w ramach całej organizacji. Dostęp ten może być utrzymany nawet po utracie dostępu bezpośredniego. Atak był skierowany na skrzynki o "wysokiej wartości informacyjnej".

Atak rosyjskich hakerów?

Skąd przypuszczenia, że to właśnie strona rosyjska odpowiada za atak i próbę uzyskania dostępu do zawartości skrzynek i przechowywanych tam informacji? Po pierwsze, wykrycie działań miało miejsce w czasie zwiększonej aktywności GRU, czyli rosyjskiego Głównego Zarządu Wywiadowczego. Od niego zależne są różne, niekiedy szeroko znane organizacje hakerskie i cyberprzestępcze.

Ważnym wskaźnikiem okazało się również coś innego. Chodzi o bardzo sprawne zmienienie i modyfikacja ustawień wielu skrzynek w krótkim czasie. DKWOC wyklucza w ten sposób możliwość ręcznej edycji uprawnień, a to oznacza, że proceder został wykonany maszynowo, na skutek działań hakerów.

Ta metoda z kolei bardzo mocno przypomina działania wykryte wcześniej w Ukrainie, co potwierdzają wywiady amerykańskie i brytyjskie. Okazuje się, że właśnie taką taktykę stosuje grupa APT28 (Fancy Bear), która jest powiązana z rosyjskim wywiadem. Pewnym jest, że adwersarz, czyli strona atakująca cechuje się wysokim poziomem wiedzy na temat architektury Microsoft Exchange.

Cyberbezpieczeństwo Polski - co dalej?

Polskie Wojska Obrony Cyberprzestrzeni informują, że zaatakowane podmioty nadal mogą być narażone na nieprzyjacielskie działania w cyberprzestrzeni. Wydano też zestaw rekomendacji, które mają pomóc zwalczyć problem i zwiększyć bezpieczeństwo. Pochodzą one ze storny Wojska Polskiego:

  1. Uruchomienie zestawu narzędzi udostępnionych przez DKWOC oraz wdrożenie środków zaradczych zgodnie z instrukcjami. Narzędzia oraz instrukcje znajdują się w załączniku ZIP.
  2. Wdrożenie mechanizmów umożliwiających wykrycie połączeń do skrzynki pocztowej udostępniającej foldery za pomocą innej skrzynki pocztowej na podstawie dzienników zdarzeń z lokalizacji:
    a. %ExchangeInstallPath%Logging\HttpProxy\Ews\
    b. %ExchangeInstallPath%Logging\Ews\
    c.  %ExchangeInstallPath%logging\Mapihttp\Mailbox\
  3. Weryfikacja kont posiadających przypisaną rolę ApplicationImpersonation[1].
  4. Weryfikacja ustawień dotyczących delegacji uprawnień do skrzynek pocztowych.
  5. Wdrożenie rekomendacji opisanych przez Microsoft  oraz służby USA i GBR w dokumencie
  6. Audyt metod dostępu do poczty elektronicznej w celu identyfikacji potencjalnych wektorów ataku.

Są to oficjalne zalecenia, których nie warto ignorować.

Czym są Wojska Obrony Cyberprzestrzeni?

WOC to specjalistyczny komponent Sił Zbrojnych RP, który został utworzony w pierwszej połowie 2022 roku. Głównym zadaniem tego rodzaju sił zbrojnych jest ochrona bezpieczeństwa państwa i obywateli w cyberprzestrzeni. W skład zadań wchodzi m.in. ochrona instytucji państwowych, administracyjnych i bezpieczeństwa publicznego.

Lodowa kapsuła czasu. To źródło wiedzy o naszej planecieAFP
INTERIA.PL
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas

Najnowsze