„Korea Północna twierdzi, że terrorystyczne Stany Zjednoczone zmusiły Pjongjang do stworzenia broni nuklearnej" – to tytuł artykułu, który w połowie października opublikował brytyjski portal Express.co.uk. Posłużył on cyberszpiegom z rosyjskiej grupy APT28 do jednego z dwóch ataków na polski rząd.
Pierwszy przeprowadzono 18 października. Do urzędników trafiły maile z plikiem „World War III-ND.docx", zawierającym wspomniany artykuł. Jego uruchomienie powodowało instalację złośliwego oprogramowania, wykorzystującego błąd w programie flash.
Drugi atak nastąpił 1 listopada. Tym razem plik-przynęta to „SaberGuardian2017.docx", nawiązująca do niedawnych ćwiczeń NATO. Po kliknięciu pojawiała się informacja o problemach z otwarciem pliku, a wciśnięcie „OK" otwierało drogę do instalacji wirusa.
– Pierwszy z ataków był adresowany do szerszego kręgu adresatów, drugi skierowano do jedynie kilku odbiorców – mówi Mariusz Burdach z firmy Prevenity, ochraniającej polskie instytucje publiczne. Jego zdaniem nie ma wątpliwości, że stali za nimi Rosjanie z APT28. – Scenariusz ataków przewidywał, że w pewnym momencie pobierany jest plik służący do wyciągania informacji z zainfekowanego komputera. Jest bardzo specyficzny i łatwo rozpoznać, kto go stworzył – mówi.
Firma Prevenity o atakach poinformowała na swoim blogu. Twierdzi, że celem było MSZ, a ataki odparto. Z naszych informacji wynika jednak, że 18 października Rosjanie chcieli zainfekować też kilka innych ministerstw, gdzie również w porę zareagowano.