31/10/2017
Jak informuje nas jeden z Czytelników, w sobotę pracownicy MON zostali ostrzeżeni przed możliwym atakiem z wykorzystaniem wiadomości SMS. SMS-y miały być kierowane na telefony pracowników Ministerstwa, a ich treść brzmiała tak: (uwaga, usunęliśmy fragment linka, a usunięte miejsce oznaczyliśmy […]):
link Add me on BOO!
Username: SMIESZNA1
https://boo.app.link/N54[...]21
Jak informuje działający w ramach MON zespół SRnIK, czyli System Reagowania na Incydenty Komputerowe w resorcie obrony narodowej (realizujący m.in. zadania zespołów CERT), kliknięcie w link może skończyć się kradzieżą prywatnych danych użytkownika, inwigilacją (audio-video) oraz możliwością śledzenia położenia.
W dalszej części wiadomości SRnIK udziela porad jak zachować się w przypadku otrzymania takiej wiadomości. I są to dobre i sensowne porady.
Przyjrzeliśmy się wiadomości i ustaliliśmy, że aplikacja BOO! jest faktycznie działającą aplikacją, która rozsyła wiadomości o dokładnie takiej treści jak cytowana przez SRnIK. Z drobnym wyjątkiem. W prawdziwych wiadomościach nie ma słowa “link” na początku SMS-a. Jak sądzimy, w przypadku SMS-ów rozsyłanych pracownikom MON-u, zamiast słowa “link” w wiadomości faktycznie występował jakiś link prowadzący w inne miejsce niż oficjalny serwis komunikatora (https://boo.chat/), a SRnIK usunął go w komunikacie z ostrzeżeniem, aby nikt z pracowników odruchowo w niego nie kliknął. Wiadomość tylko z tym drugim linkiem nie jest groźna, bo link prowadzi do prawdziwego serwisu i pozwala pobrać (tylko przez oficjalny App Store Google lub Apple) prawdziwą aplikację, która — choć chińskiej produkcji — nie zaliczyła do tej pory żadnych incydentów.
Gdyby jednak okazało się, że tego linka na początku nie było w wiadomościach kierowanych do pracowników MON, to atakującym mógłby okazać się jakiś przypadkowy pracownik MON, który pobrał tę wiadomość na firmowy telefon i nie zauważył, że aplikacja połyka książkę adresową i spamuje (tj. zaprasza) wszystkich znajomych do “wspólnej zabawy”.
Tak czy inaczej, bardzo nas cieszy rzeczowość komunikatu i odpowiednia reakcja. Dobrze wiedzieć, że wojskowi cyberspecjaliści nie śpią w weekend i monitorują to co dzieje się na telefonach pracowników ministerstwa. Przypomnijmy, że to właśnie ten zespół jako pierwszy wykrył i sprawnie odparł przeprowadzony parę lat temu atak Alladyna2 na Kancelarię Premiera, Kancelarię Prezydenta, MSZ i MON w wyniku którego wykradziono zawartości skrzynek pocztowych, hasła w różnych instytucjach oraz kalendarz ministra Sikorskiego. Ach, gdybyśmy rzeczywiście mogli mieć w wojsku ten dodatkowy 1000 takiej klasy ekspertów…
sernik? sralnik?
Szkoda, że nie nazywają się System Ekspresowego Reagowania na Incydenty Komputerowe :D
Dwa razy użyte słowo “atak” w zdaniu: “odparł atak przeprowadzony parę lat temu atak” :)
“Informacja sygnalna”? A po jakiemu to? Czy to przypadkiem nie jakiś rusycyzm?
Inna kwestia, że to najwyraźniej dopiero druga “informacja sygnalna” w tym roku. Ten SRnIK się chyba nie przepracowuje :)
Strażacy w remizie też się straszliwie obijają ;-)
Kto jak kto, ale ludzie z SRnIK-a znają się na swojej robocie i odwalają kawał naprawdę świetnej roboty.
Tak Lukasz, a przed tem byles informatykiem w Strazy Miejskiej.
Kiedy ludzie się wreszcie nauczą, że domenę czyta się od końca?
Przecież adres: bank.pl prowadzi do zupełnie innego miejsca niż bank.pl.com czy też pl.bank.
Niestety dodanie nowych domen wyższego rzędu tylko ten problem spotęgowało :(.
W MON po przeczytaniu akapitu dotyczącego możliwości śledzenia położenia użytkownika, postanowili przez cały czas zmiany stać. Podobno inicjatywa odgórna.
Ciekawi mnie numeracja dokumentu: 2/2017 – czy to znaczy, że tylko dwukrotnie ostrzegano użytkowników? Czy ilość incydentów nie wydaje się być zbyt mała?
to taki cukierek-albo-psikus, a nie atak…..atak byłby bardzo podobny do formatu używanej wewnętrznej korespondencji…no ale jutro w TVP Info usłyszymy, że odparto cyber-atak Rosjan na nasze ministerstwa.
Ciekawe kim jest Sygnaln, skoro wysyła im informacje i czy ma 00.
“wojskowi cyberspecjaliści nie śpią w weekend i monitorują to co dzieje się na telefonach pracowników ministerstwa.” gdyby monitorowali telefony pracowników, to takie sms-y by nie przychodziły.
Ktoś wie gdzie można przeczytać całość wiadomości z SRiNK? Ciekawią mnie porady w niej zawarte, cytując redakcje “I są to dobre i sensowne porady”
Skoro namierzeni zostali pracownicy i ich telefony, to znaczy że to już kolejna fala a nie próba :}
“Przypomnijmy, że to właśnie ten zespół jako pierwszy wykrył i sprawnie odparł przeprowadzony parę lat temu atak Alladyna2 na Kancelarię Premiera, Kancelarię Prezydenta, MSZ i MON w wyniku którego wykradziono zawartości skrzynek pocztowych, hasła w różnych instytucjach oraz kalendarz ministra Sikorskiego.”
>sprawnie odparł
>w wyniku którego wykradziono zawartości
wybierz jedno.