17:28
19/3/2014

Doczekaliśmy się (pierwszego?) ataku skierowanego jednostki polskich samorządów terytorialnych. E-mail, podszywający się pod producenta oprogramowania zamówionego przez Ministerstwo Finansów nakłaniał (co rzadko się zdarza) poprawną polszczyzną do zainstalowania fałszywej aktualizacji, zainfekowanej złośliwym oprogramowaniem.

Fałszywa bestia

Jak informuje portalsamorzadowy.pl, kilka jednostek samorządu terytorialnego otrzymało e-maila z fałszywą aktualizacją systemu BeSTi@ (Stworzonego przez Sygnity Informatycznego Systemu Zarządzania Budżetami Jednostek Samorządu Terytorialnego, przeznaczonego dla Ministerstwa Finansów, Regionalnej Izby Obrachunkowej i ich Zespołów Zamiejscowych oraz Jednostek Samorządu Terytorialnego i ich Związków):

Mail z fałszywą aktualizacją został wysłany z adresu pomoc@budzetjsf.pl, który jest łudząco podobny do adresu obecnego wykonawcy, czyli pomoc@budzetjst.pl.

Portal_serwisowy_systemów_BESTI__i_SJO_BESTI____System_Zarządzania_Budżetem_Jednostek_Samorządu_Terytorialnego

Oto pełna treść e-maila:

From: Pomoc BeSTi@ [mailto…@budzetjsf.pl]
Sent: Monday, March 17, 2014 8:49 AM
To:…
Subject: Aktualizacja systemu BeSTi@ do wersji 3.02.012.07

Witamy,
Pragniemy poinformować, iż dnia dzisiejszego została udostępniona nowa
aktualizacja do systemu BeSTi@ w wersji 3.02.012.07.
Aktualizacja usuwa błędy związane z bezpieczeństwem bazy danych oraz
poprawia problem z podpisem elektronicznym sprawozdań.

Instalacja jest bardzo prosta i nie wymaga dodatkowej pomocy oraz czynności.
Ze względu na znaczące poprawki bezpieczeństwa aktualizacja nie jest
dostępna z menu programu BeSTia, należy przeprowadzić ją ręcznie.

Poniższy plik “Bestia.3.02.012.07” należy zapisać na pulpicie lub w
innym miejscu a następnie go uruchomić co spowoduje zainstalowanie
uaktualnienia do systemu BeSTi@.

hxxp://budzetjsf.pl/Update/BeSTia/Bestia.3.02.012.07.exe

Instalacja nie powinna zająć więcej niż minutę.
Dziękujemy i przepraszamy za niedogodności

————————
Sputnik Software
tel. 61 622 00 60
tel. 32 722 11 96

Incydent potwierdza producent (który informował o ataku już wczoraj przedwczoraj rano). Czy któryś z czytelników mógłby podesłać nam tego e-maila wraz z próbką fałszywej aktualizacji?

Jaki cel miał atak?

Celem atakujących było najprawdopodobniej przejęcie danych dostępowych do kont bankowych, jakimi zarządzają operatorzy oprogramowania BeSTi@. Jak informuje jeden z naszych czytelników, z tego samego komputera najczęściej wykonywane są przelewy na miliony złotych dziennie.

Takie ukierunkowanie ataku sugeruje, że mogą stać za nim osoby, które doskonale znają specyfiką pracy Jednostek Samorządów Terytorialnych.

Aktualizacja 20:30
Otrzymaliśmy zarówno pełen e-mail jak i próbkę oprogramowania (MD5: 9bb03bb5af40d1202378f95a6485fba8). Analiza trwa. Poniżej wynik skanowania programami antywirusowymi (złośliwe oprogramowanie rozpoznaje 30/51 antywirusów):

Antivirus_scan_for_9bb03bb5af40d1202378f95a6485fba8_at_2014-03-19_19_40_41_UTC_-_VirusTotal

Odpalenie oprogramowania w sandboksie ujawnia, że tworzy ono pliki:

C:\Documents and Settings\Administrator\Application Data\driver--grap.exe
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\Windows.lnkinfo

i próbuje komunikować się z adresem 188.116.4.246:81 (RevDNS: wiewiora.me) zlokalizowanym w serwerowni hitme.net.pl (czyli tym samym na który skierowana jest domena budzetjsf.pl się pod wykorzystana do ataku). Sama domena została założona zaledwie kilka dni temu, 10 marca 2014 i nadal pozostaje aktywna.

Więcej informacji w raporcie z malwr.com

Dziękujemy czytelnikowi bre za przesłanie oryginału e-maila wykorzystanego w ataku.

Przeczytaj także:

52 komentarzy

Dodaj komentarz
  1. Ale nazwa :D

  2. Napiszcie do pomoc@budzetjsF.pl, że plik jest uszkodzony i czy mogliby przesłać ponownie ;)

  3. robie outsourcing w jednej szkole i jak widze jakosc tworzonego w polsce oprogramowania to mi rece opadaja.
    najwiekszy syf robi chyba WolterKluwers (dawny progman) oraz firma odpowiedzialna za System Informacji Oswiatowej (SIO stare + nowe).
    warto dodac, ze oprogramowanie zbiera kompletne dane osobowe pracownikow szkoly jak i uczniow.

  4. Jakie korzyści? Najczęściej oprogramowanie BeSTi@ (Sprawozdawcze) wykorzystują pracownicy wydziałów finansowych, a w JST do ok 50 mln budżetu bezpośrednio skarbnicy. Z tego samego komputera dokonywane są najczęściej (lub zatwierdzane) przelewy jednostki. Oznacza to pierwszy etap dostępu do kont z których każdego dnia przelewa się miliony złotych.

  5. jak czytam takie niusy to normalnie “klekajcie narody” tylko “super admin ” jest w stanie łknac taki syf ale i tak tacy sie zdarzja

    • Że niby atak jest prymitywny? Bardzo dobrze napisany, w sposób nie budzący podejrzeń a jedyną niezgodnością jest jedna trudna do wychwycenia literka w adresie e-mail. Nie dziwię się że skuteczność ataku jest wysoka.

    • Możesz rozwinąć swoją wypowiedź?

    • Na szczęście skuteczność ataku nie jest, aż tak wysoka, ponieważ RIO zareagowało bardzo szybko i w ciągu kilku godzin rozesłało do skarbników informację o fałszywej aktualizacji (większość nie zdążyła zrobić aktualizacji – ponadto system informuje użytkownika o nowej wersji podczas uruchamiania) . Atak był przygotowany prosto, ale jednocześnie bardzo dobrze, co sugeruje, że za atakiem stoi ktoś, kto miał już styczność z “Bestią” i/lub Sputnik Software. Domena dobrana wręcz genialnie, ponadto tekst wiadomości jak i wersja oprogramowania nie budziły zastrzeżeń. Mam nadzieję, że nikt nie ucierpiał.

  6. Mój program antywirusowy nie widzi w tym wirusa.
    Korzystam z Microsoft Security Essentials.

    • Skoro nie widzi wirusa, to znaczy że nie jest to program antywirusowy. Jest to jeden z programów, udających AV, których jest sporo w sprzedaży…

  7. Po takiej akcji zawsze pełne ręce roboty ;(

  8. Dlatego zwykły pracownik w budżetówce nie może mieć prawa instalowania aplikacji ;)

    • Nic nie musi instalować, odpalenie aplikacji wystarczy by zainfekować przynajmniej swój lokalny profil (nawet bez praw administratora).

      Na takich maszynach z dostępem do wrażliwych aplikacji powinien być uruchomiony ‘screening’ z whitelist’ą zaaprobowanych EXE’ów.

    • Poprawka!
      … dostępem do wrażliwych informacji* (nie aplikacji).

    • @Dev0 albo przynajmniej DeepFreeze, żeby takie coś nie było w stanie zrobić syfu w systemie “na stałe”, tylko do ponownego uruchomienia komputera.

  9. Twórcy ataku nie popisali się logicznym myśleniem i znajomością języka polskiego. “Dnia dzisiejszego”. Dobre. W tegorocznym roku. W zeszłotygodniowym tygodniu. Nie lepiej napisać po prostu “dzisiaj”?
    Jeszcze jedno. “Na pulpicie lub w innym miejscu”. Ha! A 2+2 to 7 lub inna liczba.

  10. To dobre. 1. Jaka część użytkowników komputerów wpadnie, że to ściema?
    “Ze względu na znaczące poprawki bezpieczeństwa aktualizacja nie jest
    dostępna z menu programu BeSTia, należy przeprowadzić ją ręcznie”.

    2. Które programy na Windowsa są podpisane cyfrowo? Tylko największe?

    • Z moich obserwacji wynika: losowe.

  11. co to za nazwa softu ? Bestia? nastepny bedzie wilkolak albo wampi hahaha

  12. bardzo “fajny” atak. czego by nie mówić wyróżnia się na tle cheap chinese viagra. A dla purystów językowych – idę o zakład, że autentyczny komunikat stałby na podobnym poziomie językowym.
    podatność: użytkownik z prawami pozwalającymi na instalację oprogramowania. jako, że to nie jest komputer prywatny, to nie powinna występować

    • Uważam podobnie, że to całkiem dopracowany atak.

      Co do praktyki w samorządach. W mniejszych jednostkach (znaczna większość gmin) często “Informatyk / Złota rączka / Administrator” jest zatrudniany np. na jeden dzień w tygodniu lub na “dochodzenie” (kwestia pieniędzy). Najczęściej dla wygody daje się wtedy pracownikom prawa do samodzielnej instalacji. W moich doświadczeniach z JST różnej wielkości, w około 1/3 jednostek pracownik sam może instalować oprogramowanie.

      Co więcej, w ostatnim czasie rzeczywiście występowały problemy z podpisem elektronicznym sprawozdań (a poza tym sprawozdania były niedawno przesyłane). Nawet jeśli robił to ktoś z zewnątrz to przyłożył się do roboty i poczytał odpowiednie komunikaty/fora.

    • Jako że jest to pani Hania w budżetówce – występuje;) Pani Hania musi sobie zainstalować gadu-gadu, jakąś mini gierkę do zabicia czasu – przecież pracuje w budżetówce:P A pan Heniek informatyk “pokładowy” opłacany bardzo hojnie nie ma ochoty chodzić co chwilę do pani Hani;) Miałem styczność z pewną gminą i wyglądało to jeszcze gorzej, od opisanego powyżej.

  13. Niestety link nie działa… :(

  14. Wszystko ładnie i pięknie poza jednym niuansem – pracownicy jednostek samorządu terytorialnego to najlepsi pracownicy na rynku, absolwenci MIT, komunikujący się na co dzień z petentami kodem zero-jedynkowym.
    Ta próba ataku to jakiś hoax, nie wierzę, że ktokolwiek sie na to nabrał. Nie w budżetówce.

    • Przychodzisz do okienka przy którym siedzi pani z otwartą buzią, z tempym martwym spojrzeniem a z jej gardła dobiegają dzwięki analogowej transmisji dzwiękowej niczym z modemu 56k :) hxxp:// www . soundjay . com/communication/sounds/dial-up-modem-01.mp3

    • Zdecydowanie się mylisz..jaki MIT? Jakie wysokie umiejętności? Mam styk od wielu lat z samorządem (przez moją piękną) i wierz mi, iż stopień świadomości nt. bezpieczeństwa jest śmieszny. Sam się logowałem na urzędową pocztę bo: słyszałem rozmowy, widziałem screeny, wręcz WPROST dowiedziałem się…I nie rozbawiaj mnie o najlepszych pracownikach na rynku – przecież to marzenie każdego nieroba!

    • A jak się wczytałem..to widzę gryzącą ironię…sorry, no hard feelings…ale temat łatwowierności i łatwości wyciągnięcia danych jak najbardziej na miejscu…

  15. W instytucjach tzw. budźetowych, które wielokrotnie audytowałem, kwestie bezpieczeństwa stoją na (…) poziomie. Wspomniana wyżej jakość oprogramowania woła czasem o pomstę do nieba, ale to chyba wynik procedur przetargowych (kryterium ceny…) a potem się dziwią, że program nie działa tak jak było napisane w SIWZ, że nie ma tego, tamtego, a bezpieczeństwo jego użytkowania stoi pod dużym znakiem zapytania (np. hasła zapisane otwartym tekstem w jakimś pliku konfiguracyjnym. Albo “bardziej zaawansowana technika” – hasło zapisane jest w kluczu rejestru, który łatwo podejrzeć.
    Tak więc takie “myki” z tego typu mailami na pewno wygenerują trochę problemów, chociaż dla wyczulonych adminów (i userów) to jest akurat w miarę łatwe do namierzenia. Podczas jednego z audytów na pytanie do urzędnika o kwestie związane z bezpieczeństwem otrzymałem odpowiedź w stylu “cokolwiek bym nie zrobił, i tak administrator za to będzie odpowiadał pierwszy”. No i gra :)

  16. Tak to jest, jak się nie korzysta z jedynie słusznych źródeł.
    Od dawna wiadomo, że godne zaufania są jedynie:
    – Katolicko-Unijny Portal Aktualizacji;
    – Unijne Repozytorium Wszelakich Aktualizacji
    last but not least:
    Sejmowy Zasób IT

  17. Podeśle mi ktoś próbkę?

  18. Pomysł dobry, wykonanie mogłoby być lepsze. Detekcja na poziomie 30/51 nie powala, ale można sie tego spodziewać po trojanie DarkComet injectowanym za pomocą skryptu w autoit do parent procesu.

  19. wiadomosc w porzadku!

    Ciekawa jaka bedzie reakcja na przedstawienie problemu jakim jest poziom bezpieczenstwa, kiedy ktos majac wiedze odnosnie uzytkowania oprogramowania w ww. instytucjach, jest w stanie zalozyc probe powodzenia tak plytkiego (choc zredagowanego nad wyraz dobrze) ataku na ww. instytucje.

  20. Jedno jest pewne, przed specjalistami IT (a już szczególnie ekspertami ds. bezpieczeństwa) zapowiada się tłusta przyszłość. Im większa komputeryzacja, tym większa ilość cyberprzestępców, tym więcej roboty dla białych kapeluszy. Pytanie tylko, kto jest frajerem (nawet przy dobrych zarobkach musimy się naza****alać, gdzie z jednego dobrego ‘przekrętu’ można kilku letnią pensję w dwa miesiące zarobić).

  21. Może nie w temacie, ale proszę pomóżcie, doradźcie, a samorządom to też by się przydał taki linux i problem z głowy z wiruchami od chłopaków z ferajny :P
    Spryciarze i spryciarki, a ja mam na pendrive system tails na bazie wiadomo tor project-u. Piszą, że system do anonimizacji ruuchu, ale nie o anonimowość mi chodzi. Otóż ostatnio mój tails się ponownie uruchomił sam surfując na jakiejś tam stronie, co było dziwne, bo przecież to załatany debian z wyłączonymi wtyczkami. Moje pytanie brzmi, czy jak sobie skonfiguruje na przykład ubuntu i tam zainstaluje tor-a co nie jest skomplikowane i zabezpiecze ubuntu typu wyłączenie gościa by nikt nie widział plików i inne tam bajery jest lepszym rozwiązaniem? Czy lepiej używać tego tails na debianie, który zapewnia dodatkowo anonimowość, ale jest bezpieczniejszy, bo jest live i nic się nie zapisuje na dysku? Bo osobiście wolę ubuntu, bo mogę sobie go fajnie przekonfigurować, a na debianie jakoś czuję się jak na komputerze z powyłączanymi gniazdami usb, bo jakoś m za surowo. Bo wiem, że w ubuntu można mieć tor, ale to myślę, że nie to samo, bo jak uruchamia się ubuntu to widzę lecącą linię poleceń, która pokazuje zainicjowane połączenia gdzieś tam. No i w razie czego mogę mieć w ubuntu eseta, gdy mi wirusy z windowsa się ładuje przez pamięc flash, a na debianie jakoś nie mogę mieć eseta i przez to jakoś mniej bezpieczniej się czuje. Co byście poradzili? Ubuntu hardened by me czy tails na świeżo, ale rzekomo bezpiecznie?

    • Sprzedaj komputer.

  22. Atak na polskie samorządy to zaczął się od zamordowania Leppera.

    http://media.wp.pl/kat,1022941,title,Tylko-u-nas-Lepper-boi-sie-mowic-o-talibach,wid,12650107,wiadomosc.html
    “- Nie chcę o tym mówić. Rudolf Skowroński (jedna z osób, której nazwisko pojawiało się w sprawie talibów lądujących w Klewkach) zaginął. Teraz go szukają, ale tak żeby nie znaleźć… – urywa Lepper i kluczy, gdy pytamy go jego wiedzę na temat tajnych operacji CIA w Polsce.

    – Boi się pan o tym mówić? – pytamy.
    – Trochę tak. To są takie sprawy, że lepiej o nich nie mówić – kończy Lepper.”

    Kolejnym atakiem na samorządy było niedawne pozbawienie życia burmistrza Zdzieszowic, tego od koncepcji większej autonomii gospodarczej dla samorządów, działacza RAŚ. Został uciszony w najgorętszym jak do tej pory okresie zamieszek na Ukrainie. Chyba ktoś na górze obawiał się powtórki scenariusza z Ukrainy w Polsce.

  23. Zawsze można zainteresowanym opowiedzieć o projekcie Limux zrealizowanym w Monachium, może i my kiedyś w jakimś większym mieście do tego dojrzejemy?
    http://de.wikipedia.org/wiki/LiMux

  24. Sam kiedyś pisałem jakieś boty i w normalne aplikacje w AutoIT – nieważne czy zawartość jest szkodliwa czy nie – antywirusy zawsze tak krzyczały na nie…

  25. Razor Crypt (lub bardzo podobny)
    Crypter w AutoIT za $10 miesięcznie.
    http://razorcrypt.com/tdsng.png
    Niestety taki minus tanich Crypterów że przestają być FUD w kilka godzin po wrzuceniu na virustotal.com.
    Gdyby facet urzył trojana Jrat(dostępna wersja cracked) odpowiednik DarkCometa napisany w Javie plik byłby niewykrywalny bez cryptera i pozostał FUD. Do tego nie dodał by procesu do Autostartu(uruchamia się ze startem procesu javy) co utrudniło by wykrycie. I uruchomił by się w razie potrzeby na systemie linux, mac os.
    Zakładam że na takim komputerze jest zainstalowane oprogramowanie java niezbędne aby ten trojan mógł działać, chociaż mogę się mylić bo o celu nie mam pojęcia.

    • Syf z heckforums ;)
      PS. “użył” a nie “urzył”

  26. Może przewrotne pytanie, ale może to coś co ma tylko wyglądać na soft do kradzieży pieniędzy? Może to element gry (Rosyjskich?) służb obliczony na pozyskiwanie informacji?

  27. Napisany poprawna polszczyzną? “Dnia dzisiejszego” to polszczyzna urzędnicza

  28. Podstawowe pytanie, na jakie adresy e-mail został rozesłany prezent i w jaki sposób zostały te adresy uzyskane. Ktoś nie tylko wiedział jak ten system działa, ale też musiał mieć dane o docelowych odbiorcach. Raczej mało prawdopodobne, że e-mail przyszedł do każdego w urzędzie

    • Sam cel ataku podpowiada, gdzie szukać adresów:
      1. Działy Księgowości/skarbnicy
      2. Strona jednostki-zakładka kontakt lub BIP

    • @Tomek

      chciałoby się powiedzieć genialne Watsonie
      a gdzie w BIP są podane adresy e-mailowe skarbników?
      przejrzałem parę stron na szybko i tego rodzaju adresów nie ma
      wniosek ktoś musiał “zdobyć” bazę “szytą na miarę”

  29. Jako, że popieram twierdzenie iż geniusz tkwi w prostocie to można by powiedzieć, że ten ktoś jest geniuszem. Zważywszy jednak fakt że geniusz może się znajdować/opierać tylko w\na prawdzie a nie w kłamstwie, to jest to tylko li wyłącznie kuglarska sztuczka, aczkolwiek warta pochylenia się nad nią. Cały cimers i zagadka tkwi w jednym tylko zdaniu “Poniższy plik “Bestia.3.02.012.07” należy zapisać na pulpicie lub w
    innym miejscu”. Ktoś doskonale zdawał sobie sprawę z tego, że kadra urzędnicza (zwłaszcza lewadzka) jest na niskim poziomie intelektualnym, (podam przykład : na własne uszy słyszałem jak jedna z urzędniczek (PO) mówiła że jest za wprowadzeniem waluty euro gdyż obecnie zarabia 1600 zł. to po wprowadzeniu Eu. …każdy może sobie przeliczyć (myśli że po zamianie dostanie 1600 Eu.) (sic). Ktoś doskonale wiedział że aby aktualizacja się powiodła musi być jasny przekaz że można to zrobić w dowolnym miejscu, nawet w torebce od Gucia. Ktoś doskonale wiedział że jeśli tego nie zrobi sytuacja będzie wyglądać tak : Haniu gdzie się instaluje aktualizacje …nie wiem spytaj Madzi, Madzia też nie będzie wiedzieć więc spytają Joasie …itd. (ktoś doskonale zdawał sobie z tego sprawę). Każdy teraz widzi jak pokrętne są komuchy i jaką mają skrzywioną, plugawą POpapraną fałszywą psychikę (bo chyba nikt nie śmie imputować że robią to prawi ludzie). Mimo wszystko kuglarzowi daje +1 i starczy. Zastanawiam się ile czasu ktosiowi zajęło opracowanie jarmarcznej sztuczki bo mi geneza niecała sekundę. Zastanawiam się też kto prowadzi tego typu śledztwa, ale sądząc po dotychczasowych osiągnięciach są to : Żwirek i Muchomorek, wiec z racji tego, że atak został szybko wykryty przeto zwracam się do Żwirka i Muchomorka o sprawdzenie czy nie był to atak skierowany stricte na samorządy Prawa i Sprawiedliwości.

  30. A w jaki sposób można namierzyć osobnika stojącego za tym atakiem? Potrafi ktoś powiedzieć?

  31. […] Boże“, żadnego wyłudzania pieniędzy, numeru konta ani złośliwego oprogramowania (jaka miła odmiana!). Po prostu stare dobre trollowanie nastawione na pomnażanie się […]

  32. U nas ostatnio też zaatakowali i chyba ukradli rekordowe pół bańki http://twojepajeczno.pl/aktualnosci/zlodzieje-okradli-gmine-pol-miliona-zlotych/

  33. Dlaczego podali email z literówką? Dlaczego nie podszyli się pod prawdziwy email?
    Z tego co pamiętam, to (kiedyś przynajmniej) mając serwer z php można było użyć funkcji mailto() żeby wysłać email z dowolnie wybraną nazwą konta mailowego.
    Czy ja o czymś nie wiem? :)

  34. […] Niestety niewnoszący niczego nowego opis ataku z fałszywą aktualizacją BeSTi@ […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.