Ataki rosyjskich szpiegów na polskie placówki dyplomatyczne wykryte i opisane

faxepl

13.04.2023, 18:33:17 via Wykop

50

skala rosyjskich cyberataków nie sprostała wszystkim oczekiwaniom analityków

Jak poniżyć adwersarza już w pierwszym zdaniu artykułu (ʘ‿ʘ)

aleksc

14.04.2023, 04:23:54 via Wykop

46

Sorry, ale z opisu to wygląda na zwykły phishing. Takie ataki a w zasadzie testy bezpieczenstwa to są prowadzone w wielu firmach. Np. u mnie dział bezpieczenstwa wysyła emaile w stylu, żeby sprawdzić jakąś fakturę, w załączniku jest pdf lub excel z czymś co po otwarciu infekuje komputer i potem taki pracownik jest wysyłany za karę na szkolenie z bezpieczeństwa.
Albo wynajmują firmę z działu bezpieczeństwa, gość wchodzi do firmy z jakimś

emes83

14.04.2023, 16:57:36 via Wykop

7

@aleksc: u mnie to samo, co jakiś czas niespodzianki.

no_lan

14.04.2023, 20:21:37 via Android

5

@elo_ pewnie zajmują się dostarczeniem usług do dużych korporacji które chcą mieć potwierdzenie bezpieczeństwa dostawców, po prostu to nie jest januszex gdzie hasło wszystkim ustawia "admin" Oskarek syn Janusza

autotldr

13.04.2023, 18:22:14 via Wykop

7

To najlepszy tl;dr, jaki mogłem zrobić, oryginał zmniejszony o 72% (jestem botem)

Choć skala rosyjskich cyberataków nie sprostała wszystkim oczekiwaniom analityków, to nie znaczy, że ataków tych nie ma lub że są łatwe do odparcia.

Opublikowany dzisiaj raport opisuje trwające właśnie ataki na placówki dyplomatyczne i ministerstwa spraw zagranicznych państw UE i NATO, w tym także Polski.

Są to przede wszystkim wycelowanie kampanii w konkretne osoby, użycie techniki „przemycania HTML” przez stronę

przekliniak

14.04.2023, 16:29:37 via Wykop

2

Co się rzuca od razu w oczy to metoda na Dworczyka ( ͡° ͜ʖ ͡°)

Sprawcy, podszywając się pod pracowników innej ambasady

Seznam.cz to takie knedlikowe wp.pl. Jeśli ktoś dostaje takiego maila i nie zapala mu się czerwona lampka, albo wiadomość nie jest automatycznie oznaczana przez filtry jako podejrzana, to coś jest bardzo nie teges już na tym etapie.

przekliniak

15.04.2023, 11:56:19 via Wykop

1

@osetnik: Wystarczy, że będą znali różnicę między .gov CC TLD a czym kolwiek innym, a admin doda odpowiednie filtry. Przecież my tu rozmawiamy o oficjalnej korespondencji między placówkami dyplomatycznymi, a nie sklepem Kazika.

Oczywiście zakładając, że żyjemy w normalnym kraju a nie jakimś bantustanie, gdzie rząd ignoruje przepisy prawa, a hasła do serwera to admin1.

przekliniak

15.04.2023, 15:31:13 via Wykop

1

@osetnik: Przez chwilę zapomniałem, że można ot tak zadzwonić do prezydenta podając się za Macrona ( ͡° ʖ̯ ͡°)

Pawel_93

14.04.2023, 23:46:40 via Wykop

0

Fajnie, że chłopaki zrobili dobrą robotę i ogarnęli temat. Nie znam się bardzo na pentestach ale atak wygląda na ekstremalnie standardowy. Spodziewał bym się po ruskich czegoś dużo bardziej ambitnego ale mam nadzieję, że się mylę.

osetnik

15.04.2023, 11:48:40 via Wykop

1

Spodziewał bym się po ruskich czegoś dużo bardziej ambitnego

@Pawel_93: bo to nie były żadne ruskie. Nasza niezwyciężona armia i jej wywiad nie potrafi złapać przemytnika martwych dzików z ASF a ty chcesz, żeby łapali cyberprzestępców? Przecież ten "sukces" jest tak grubymi nićmi szyty, że trzeba być ślepym żeby tego nie widzieć.

Pawel_93

15.04.2023, 20:27:29 via Wykop

1

@osetnik: Faktycznie, czemu ktoś miałby się bawić w phishing, skoro nasi politycy w młodości chlali wódkę i palili papieroski kupione za pieniądze z Kremla, przy okrągłym stole.

eSUBA94

14.04.2023, 18:52:07 via Wykop

-1

Tradycyjnie każdy będzie bezkarny bo przecież to rosja, rosja może od 1945 odwalać na świecie i zawsze jest wymówką "no przecież to rosja"

Banita2025

13.04.2023, 19:47:03 via Wykop

-2

Czyżby ten "news" ma coś wspólnego z wczorajszym ama z piSSowskim kolaborantem?
Takie pokazanie, że się pracuje...

Tiboo

14.04.2023, 07:15:00 via Wykop

16

@Banita2025: Mi ten hurraoptymizm też wydaje się nieco podejrzany. Jeszcze nie tak dawno temu Koreańczycy włamali się na nasze "pilnie strzeżone" serwery KNF'u i buszowali tam sobie nieniepokojeni całymi miesiącami. Teraz nagle jesteśmy pionierem w odpieraniu cyberataków, bo pracownicy urzędów nie kliknęli podejrzany link w mailu? XD

osetnik

14.04.2023, 11:23:10 via Wykop

2

Jeszcze nie tak dawno temu Koreańczycy włamali się na nasze "pilnie strzeżone" serwery KNF'u i buszowali tam sobie nieniepokojeni całymi miesiącami

@Tiboo: Nie jestem "na bieżąco". O co chodziło?

Bologna

14.04.2023, 16:37:55 via Wykop

-6

Ale przecież ruscy nawet reklamy na Youtube wykorzystują do infekowaia komputerów Polaków w nadzieji, że ktoś wejdzie w reklamę na filmiku https://youtu.be/Ea_zLD09yF8

osetnik

15.04.2023, 14:36:28 via Wykop

-1

@Bologna: ciekawe jak?

osetnik

14.04.2023, 10:18:34 via Wykop

-7

Informacja nieprawdziwa. Pic na wodę fotomontaż.

Cytuję:

vcruntime140.dll – prawdziwa, choć zmodyfikowana biblioteka, wczytywana przez prawdziwego 7zipa

Otóż 7zip nie używa tej biblioteki, może się śmiało bez niej obejść. W dodatku można to zrobić ustawiając statyczne linkowanie w trakcie kompilacji. Jeśli goście są tak zaawansowani, żeby dorzucać złośliwy kod do tego, darmowego i wolnego, kompresora to nie tylko o tym wiedzą ale i nie potrzebują dodatkowych bibliotek uruchomieniowych do 8 letniego kompilatora

dridex_

14.04.2023, 13:59:56 via Wykop

14

@osetnik: To że jej nie używa nie oznacza że jej nie próbuje załadować. Ta technika to DLL hijacking i jest jak najbardziej wykorzystywana w tym ataku.

Having a standalone trusted executable allows the red team to simply copy the trusted executable and malicious DLL to a victim machine and bypass various host-based security controls, including application whitelisting. Once the trusted executable (vulnerable to DLL abuse) and malicious DLL are both

5da4266d3de6dbaf425a2d4fc16225d0

14.04.2023, 16:42:27 via Wykop

8

@osetnik: Klasyczne "nie znam sie to się wypowiem" ( ͡° ͜ʖ ͡°) Zupełnie nie zrozumiałeś na czym ten atak polega: sęk w tym ze dajesz komuś prawdziwą, niezmodyfikowaną, podpisaną binarkę, której antywirus czy windows defender nie zablokuje z marszu tylko pozwoli ją odpalić. A tak się składa że ta binarka ładuje pewne .dll i najwyraźniej nie weryfikuje ich więc można je podmienić na zmodifykowane. W ten sposób