10:54
31/10/2017

Jak informuje nas jeden z Czytelników, w sobotę pracownicy MON zostali ostrzeżeni przed możliwym atakiem z wykorzystaniem wiadomości SMS. SMS-y miały być kierowane na telefony pracowników Ministerstwa, a ich treść brzmiała tak: (uwaga, usunęliśmy fragment linka, a usunięte miejsce oznaczyliśmy […]):

link Add me on BOO!
Username: SMIESZNA1
https://boo.app.link/N54[...]21

Jak informuje działający w ramach MON zespół SRnIK, czyli System Reagowania na Incydenty Komputerowe w resorcie obrony narodowej (realizujący m.in. zadania zespołów CERT), kliknięcie w link może skończyć się kradzieżą prywatnych danych użytkownika, inwigilacją (audio-video) oraz możliwością śledzenia położenia.

W dalszej części wiadomości SRnIK udziela porad jak zachować się w przypadku otrzymania takiej wiadomości. I są to dobre i sensowne porady.

Przyjrzeliśmy się wiadomości i ustaliliśmy, że aplikacja BOO! jest faktycznie działającą aplikacją, która rozsyła wiadomości o dokładnie takiej treści jak cytowana przez SRnIK. Z drobnym wyjątkiem. W prawdziwych wiadomościach nie ma słowa “link” na początku SMS-a. Jak sądzimy, w przypadku SMS-ów rozsyłanych pracownikom MON-u, zamiast słowa “link” w wiadomości faktycznie występował jakiś link prowadzący w inne miejsce niż oficjalny serwis komunikatora (https://boo.chat/), a SRnIK usunął go w komunikacie z ostrzeżeniem, aby nikt z pracowników odruchowo w niego nie kliknął. Wiadomość tylko z tym drugim linkiem nie jest groźna, bo link prowadzi do prawdziwego serwisu i pozwala pobrać (tylko przez oficjalny App Store Google lub Apple) prawdziwą aplikację, która — choć chińskiej produkcji — nie zaliczyła do tej pory żadnych incydentów.

Gdyby jednak okazało się, że tego linka na początku nie było w wiadomościach kierowanych do pracowników MON, to atakującym mógłby okazać się jakiś przypadkowy pracownik MON, który pobrał tę wiadomość na firmowy telefon i nie zauważył, że aplikacja połyka książkę adresową i spamuje (tj. zaprasza) wszystkich znajomych do “wspólnej zabawy”.

Tak czy inaczej, bardzo nas cieszy rzeczowość komunikatu i odpowiednia reakcja. Dobrze wiedzieć, że wojskowi cyberspecjaliści nie śpią w weekend i monitorują to co dzieje się na telefonach pracowników ministerstwa. Przypomnijmy, że to właśnie ten zespół jako pierwszy wykrył i sprawnie odparł przeprowadzony parę lat temu atak Alladyna2 na Kancelarię Premiera, Kancelarię Prezydenta, MSZ i MON w wyniku którego wykradziono zawartości skrzynek pocztowych, hasła w różnych instytucjach oraz kalendarz ministra Sikorskiego. Ach, gdybyśmy rzeczywiście mogli mieć w wojsku ten dodatkowy 1000 takiej klasy ekspertów…

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. sernik? sralnik?

    • Szkoda, że nie nazywają się System Ekspresowego Reagowania na Incydenty Komputerowe :D

  2. Dwa razy użyte słowo “atak” w zdaniu: “odparł atak przeprowadzony parę lat temu atak” :)

  3. “Informacja sygnalna”? A po jakiemu to? Czy to przypadkiem nie jakiś rusycyzm?

    Inna kwestia, że to najwyraźniej dopiero druga “informacja sygnalna” w tym roku. Ten SRnIK się chyba nie przepracowuje :)

    • Strażacy w remizie też się straszliwie obijają ;-)

  4. Kto jak kto, ale ludzie z SRnIK-a znają się na swojej robocie i odwalają kawał naprawdę świetnej roboty.

    • Tak Lukasz, a przed tem byles informatykiem w Strazy Miejskiej.

  5. Kiedy ludzie się wreszcie nauczą, że domenę czyta się od końca?
    Przecież adres: bank.pl prowadzi do zupełnie innego miejsca niż bank.pl.com czy też pl.bank.
    Niestety dodanie nowych domen wyższego rzędu tylko ten problem spotęgowało :(.

  6. W MON po przeczytaniu akapitu dotyczącego możliwości śledzenia położenia użytkownika, postanowili przez cały czas zmiany stać. Podobno inicjatywa odgórna.

  7. Ciekawi mnie numeracja dokumentu: 2/2017 – czy to znaczy, że tylko dwukrotnie ostrzegano użytkowników? Czy ilość incydentów nie wydaje się być zbyt mała?

  8. to taki cukierek-albo-psikus, a nie atak…..atak byłby bardzo podobny do formatu używanej wewnętrznej korespondencji…no ale jutro w TVP Info usłyszymy, że odparto cyber-atak Rosjan na nasze ministerstwa.

  9. Ciekawe kim jest Sygnaln, skoro wysyła im informacje i czy ma 00.

  10. “wojskowi cyberspecjaliści nie śpią w weekend i monitorują to co dzieje się na telefonach pracowników ministerstwa.” gdyby monitorowali telefony pracowników, to takie sms-y by nie przychodziły.

  11. Ktoś wie gdzie można przeczytać całość wiadomości z SRiNK? Ciekawią mnie porady w niej zawarte, cytując redakcje “I są to dobre i sensowne porady”

  12. Skoro namierzeni zostali pracownicy i ich telefony, to znaczy że to już kolejna fala a nie próba :}

  13. “Przypomnijmy, że to właśnie ten zespół jako pierwszy wykrył i sprawnie odparł przeprowadzony parę lat temu atak Alladyna2 na Kancelarię Premiera, Kancelarię Prezydenta, MSZ i MON w wyniku którego wykradziono zawartości skrzynek pocztowych, hasła w różnych instytucjach oraz kalendarz ministra Sikorskiego.”

    >sprawnie odparł
    >w wyniku którego wykradziono zawartości

    wybierz jedno.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.