Grupa powiązana z rosyjskim wywiadem (APT28) wykorzystuje świeżo odkrytą dziurę w popularnym pakiecie Microsoft Office. Cel? Przejęcie pełnej kontroli nad komputerami i kradzież danych.

Hakerzy nie tracili czasu: Atak w 24 godziny

Sytuacja jest bezprecedensowa pod względem tempa działania przestępców. Microsoft poinformował o błędzie w zabezpieczeniach (oznaczonym jako CVE-2026-21509) 26 stycznia 2026 roku. Zaledwie dobę później hakerzy mieli już gotowe „złośliwe dokumenty”, a po czterech dniach zaatakowali pierwsze cele w Polsce, Rumunii i na Ukrainie.

Tak szybka reakcja pokazuje, że mamy do czynienia z profesjonalną grupą hakerską (znaną jako Crafty Leshy), która dysponuje ogromnym zapleczem technicznym.

Na czym polega „dziura” w Microsoft Office?

CVE-2026-21509 to błąd w sposobie, w jaki programy takie jak Word czy Excel sprawdzają bezpieczeństwo otwieranych plików.

W dużym uproszczeniu: hakerzy potrafią przygotować taki dokument, który „oszukuje” strażnika systemu Windows. Gdy użytkownik otwiera plik, program omija standardowe blokady bezpieczeństwa i automatycznie uruchamia ukryty, złośliwy kod. Wystarczy samo otwarcie dokumentu, by hakerzy mogli zacząć działać na naszym komputerze.

Pułapka „zaufanego nadawcy”: Jak działają hakerzy?

To nie jest zwykły spam z błędami ortograficznymi. Atak jest precyzyjnie wymierzony i bardzo trudny do wykrycia:

• Przejęte maile urzędowe: Hakerzy wysyłają wiadomości z prawdziwych skrzynek pocztowych przejętych wcześniej w innych krajach (np. z ministerstw na Ukrainie czy w Rumunii).
• Wiarygodna treść: E-maile wyglądają jak oficjalna korespondencja służbowa, co sprawia, że nawet przeszkolony urzędnik może stracić czujność.
• Ukryty wirus w obrazku: Złośliwy kod jest sprytnie schowany wewnątrz zwykłego pliku graficznego (tzw. steganografia), dzięki czemu większość programów antywirusowych go nie zauważa.

Jak przebiega infekcja? Cyfrowe „włamanie” krok po kroku

Gdy ofiara otworzy dokument, system wykonuje serię niewidocznych dla użytkownika operacji:

1. Komputer łączy się z serwerem hakerów i pobiera złośliwy plik skrótu.
2. Wirus podstępem zmienia ustawienia systemowe tak, by uruchamiać się automatycznie przy każdym włączeniu komputera.
3. Następuje „reset” pulpitu (procesu explorer.exe), co pozwala wirusowi w pełni przejąć kontrolę nad systemem.
4. Na końcu instalowane jest specjalne narzędzie szpiegowskie, które pozwala hakerom pobierać dokumenty, podglądać ekran i wykradać hasła.

Zalecenia służb: Jak się bronić?

Ministerstwo Cyfryzacji oraz specjaliści z DKWOC apelują o natychmiastowe podjęcie kroków ochronnych:

• Zainstaluj aktualizacje: Nie odkładaj aktualizacji pakietu Microsoft Office – poprawki bezpieczeństwa są już dostępne i są jedyną skuteczną barierą.
• Uważaj na załączniki: Bądź skrajnie nieufny wobec plików przesyłanych e-mailem, nawet jeśli nadawca wydaje się wiarygodny. Jeśli nie spodziewałeś się danego dokumentu, potwierdź jego autentyczność inną drogą (np. telefonicznie).
• Blokada ruchu sieciowego: Administratorzy sieci w firmach i urzędach powinni zablokować możliwość łączenia się komputerów z podejrzanymi serwerami zewnętrznymi (ruch WebDAV/SMB).

Eksperci podkreślają, że obecna kampania to element szeroko zakrojonej wojny hybrydowej, a celem ataków jest osłabienie bezpieczeństwa cyfrowego państw wspierających Ukrainę.

Źródło: komunikat Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni

Rafał Bernasiński