11:07
27/7/2020

Jeśli zachodnia firma chce otworzyć swój oddział w Chinach i mieć konto w tamtejszym banku, musi rozliczać się za pomocą konkretnej aplikacji podatkowej. Okazało się, że aplikacja do podatków posiadała wbudowanego backdoora, czyli tylną furtkę, którą nie wiadomo kto, ale wiadomo do czego wykorzystywał.

GoldenSpy

Sprawę opisuję firma Trustwave w swoim raporcie dotyczącym śladów zabezpieczonych u dwóch brytyjskich klientów, którzy niedawno otworzyli oddziały w Chinach. Nie jest jasne, czy zbackdoorowana wersja oprogramowania podatkowego została przekazana wszystkim zachodnim firmom robiącym biznes w Chinach, ale do tych dwóch taka na pewno trafiła. Należy więc podejrzewać, że ofiar jest więcej.

Instalację aplikacji “Intelligent Tax” autorstwa “Golden Tax Department” z firmy “Aisino Corporation” wymusił na zachodnich firmach obsługujący je chiński bank. Wbudowany w aplikację trojan GoldenSpy został wykryty dzięki generowanej przez siebie aktywności sieciowej. Po bliższej analizie okazało się, że ktoś mógł przy jego pomocy:

    – wydawać dowolne polecenia Windowsa
    – zgrywać dane
    – wgrywać i instalować nowe oprogramowanie

Co więcej aplikacja tak naprawdę instalowała się w dwóch kopiach, umieszczając swoje komponenty w autostarcie. Jeśli jeden z nich został zatrzymany, drugi od razu go wznawiał, a usunięcie obu powodowało wybudzenie trzeciego modułu, który dociągał i ponownie instalował dwa skasowane. Żeby było zabawniej, funkcja odinstalowania aplikacji usuwała ją, ale bez elementu backdoora. Ten dalej zostawał w systemie.

Rząd czy nierząd?

“Specjalna wersja” aplikacji mogła być przekazana zachodnim firmom na prośbę chińskich służb. Bank niekoniecznie musi taką wersję aplikacji przekazywać wszystkim klientom — mogą to być tylko “wybrani”. Trustwave w swoim raporcie nie wskazał banku, który obsługiwał jego klientów, a w wyjasnianiu historii nie pomaga milczenie producenta aplikacji.

Ale równie prawdopodobne jest to, że trojan wcale nie jest elementem oficjalnej rządowej operacji. Mogą za nim stać jakieś grupy przestępcze, które po prostu przejęły infrastrukturę producenta aplikacji podatkowej i na etapie budowania paczki dodają do niej swoje zabawki (por. CCleaner zhackowany, przez miesiąc wykradał dane z komputerów 2 milionów użytkowników).

Nie pierwsza taka i nie ostatnia…

Jeśli czytając tę historię mieliście moment deja vu, to słusznie. Przypomnijmy atak na ukraińskie (i nie tylko) firmy przy pomocy wipera Not Petya, który na firmowe komputery przedostał się wraz ze złośliwą aktualizacją oficjalnego podatkowego oprogramowania.

Przypadek trojana GoldenSpy to kolejny dowód na to, że oprogramowanie firm trzecich, a zwłaszcza to “oficjalne, rządowe” warto instalować na odseparowanych stacjach roboczych. Nawet jeśli nie obawiamy się zagrożenia ze strony rządu. Rządowe i powszechnie wykorzystywane oprogramowanie ktoś może zhackować — to bardzo intratny cel — strzela się raz, a kładą się wszyscy…

PS. Jeśli chcecie się dowiedzieć jak przed takim strzelaniem ze strony cyberprzestępców (tych rządowych i zwykłych) się zabezpieczyć, to zapraszamy na nasze szkolenie z Bezpieczeństwa Sieci Komputerowych, na którym w tracie 3 dni pokazujemy jak atakować własną infrastrukturę tak jak robią to prawdziwi włamywacze. Szkolenie jest silnie praktyczne i pokaże wam, jakie zabezpieczenia faktycznie działają i warto je wdrożyć, a jakie są marketingową wydmuszką. Najbliższe terminy tego szkolenia wymieniamy poniżej, a jeśli podczas rejestracji wpiszecie “GoldenSpy“, obniżymy Wam cenę o aż 370 chińskich yuanów (oferta jest ważna do końca lipca lub końca świata, cokolwiek nastąpi wcześniej):

ZDALNIE: 16-18 grudnia 2020r. — zostało 6 wolnych miejsc
Ostatnio ktoś zarejestrował się 25 listopada 2020r. → zarejestruj się na to szkolenie

    3199 PLN netto (do 26 listopada)
    3499 PLN netto (od 27 listopada)

ZDALNIE: 20-22 stycznia 2021r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 25 listopada 2020r. → zarejestruj się na to szkolenie

    3199 PLN netto (do 4 grudnia)
    3499 PLN netto (od 5 grudnia)

ZDALNIE: 24-26 lutego 2021r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 26 listopada 2020r. → zarejestruj się na to szkolenie

    3199 PLN netto (do 18 grudnia)
    3499 PLN netto (od 19 grudnia)

PS. Opinie uczestników ostatnich terminów tego szkolenia możecie przeczytać tutaj, a ponieważ szkolenie jest przydatne w pracy, to gdybyście potrzebowali argumentów do przekonania swojego przełożonego aby znalazł na nie budżet, to dajcie nam znać, mamy je przygotowane.

Przeczytaj także:



17 komentarzy

Dodaj komentarz
  1. Aż mi się przypomniała taka ciekawostka: Lata temu na Poczcie polskiej rozrzucano płytki z programem Płatnik. Instalowałem to wówczas ludziom i znalazłem pewien ciekawy przypadek: Otóż program potrafił przejąć niektóre z optymalizatorów DNSów (wówczas bardzo popularne narzędzia pozwalające wycisnąć parę złociszy mniej za telefony do 0202122) i podszywać się pod nie. Zakończenie procesu optymalizatora (najczęściej był to pamiętny “Bond” rozpowszechniany na płytkach z PC Worlda czy innego Entera) skutkowało zakończeniem działania programu do rozliczeń. Znikała również ikonka wskazująca aktualny DNS. Oczywiście wyjaśnienie jakie było udzielane… po mailu! to “bezpieczeństwo”.

    • Widzę, że ciąg dalszy propagandy i krytykowania Chin w portalach internetowych w ramach wojny handlowej :(. Nie bronię Chin, ale przypominam, że system MS, android, apple jeszcze bardziej szpieguje.

      ps.
      USA boli dupa, że Chiny piszą lepszy soft. To, że szpiegują w dobie XXI nie ma znaczenia bo robi to każdy producent.

    • agatka 2020.07.27 20:57
      Amerykanie nie podsłuchują. Oni tylko walczą z terroryzmem. Kto nie jest z nimi jest terrorystą, albo ruskim agentem. Wszystko co dobre to tylko amerykańskie.

    • @agatka No właśnie to widać. Pomijając fakt, jak bardzo godna potępienia jest ta powszechna inwigilacja, to nagle teraz z każdej strony ujawniają się podwójne standardy. Jedni szpiegują (i od lat wszyscy o tym wiedzą!) i wszystko jest cacy, kto inny szpieguje i nagle wszyscy śmiertelnie oburzeni…
      Niby jakim prawem ktoś decyduje w imieniu społeczeństwa, że jednych agresywnych oprawców się akceptuje, innych nie.

    • Ale to jest proste – potępiamy tych których nie rozumiemy, albo z kim nie dzielimy tych samych wartości. Dla Chin i Rosji, ważny jest naród jako całość, jednostka się nie liczy a pieniądze są tylko środkiem. Dla Zachodu (do którego mentalnie przynależymy), ważni są ludzie, ale i firmy, ale i stan posiadania, a jednostki “narodowe” są potrzebne do zabezpieczenia obywateli.
      USA szpieguje, ale wbrew temu co się przedstawia, jest bardzo niewiele współpracy pomiędzy dużymi firmami, a rządem, FBI, i innymi agencjami. Można powiedzieć że każdy szpieguje “dla siebie”, dzieląc się tylko niektórymi informacjami.
      Tymczasem Chiny szpiegują, ale dane są szeroko współdzielone (a wręcz taka wymiana danych jest wymuszana przez rząd, wszystko ku wspólnemu celowi).

      Tymczasem my, Polacy przyzwyczailiśmy się że jesteśmy szpiegowani przez firmy, czy małe jednostki. Preferujemy płacenie za usługi swoimi danymi, niż pieniędzmi. Nie podoba nam się natomiast szpiegowanie przez rząd, bo kojarzy nam się to z czasami komunistycznymi.

  2. To w Polsce ( jak w kazdym kraju ) takiej współpracy nie ma ? Szok normalnie szok …

    • Biedni ci amerykanie. Dawniej mieli monopol na szpiegowanie, a teraz muszą się podzielić tortem. Czekam, kiedy USA napadnie na Chiny w ramach ratowania demokracji. ^^ Już im zrabowanie Iraku, Afganistanu nie wystarcza.

  3. Czymś się to różni od Polin i programów typu Płatnik, JPK, dostępu Skarbówki do rachunków bankowych firmy i obowiązkowi sprawozdawczości itp? Coś więcej trzeba o firmie wiedzieć?

    • Tym, że dane o płatnościach to już mieli, przecież to była aplikacja bankowa. Dzięki temu narzędziu mogli mieć dostęp do wszystkich plików znajdujących się na danym komputerze, a nawet rozpocząć atak z sieci wewnętrznej danego przedsiębiorstwa.

    • @Observer: ta aplikacja “mogła mieć” czy miała? Bo jak “mogła mieć” to czy sprawdzasz przed instalacją jakie nowe funkcje mają ustawicznie narzucane użytkownikom nowe aktualizacje Płatnika? Skąd wiesz co robią w komputerze? Czy wiesz, że w kretynizmie swoim Płatnik jest tak napisany (oczywiście ma wszystkie atesty o spełnianiu RODO i ustawy o rachunkowości), że jak nie dasz wszystkim użytkownikom dostępu bez ograniczeń do katalogu, gdzie jest zainstalowany, to przestaje poprawnie działać przy pierwszej aktualizacji? Czy wiesz jak “bezpiecznie” Płatnik przechowuje hasła administratora i administratora serwera bazy danych (też od kilkunastu wydań nie chce poprawnie działać na uprawnieniach mniejszych niż administrator serwera MS SQL…)? Tak “bezpiecznie”, że szybciej znajdziesz te hasła w rejestrze i odkodujesz niż wyciągniesz notes z kieszeni i odszukasz… Polska w mediach non stop szczuje na Rosjan i Chiny a nie zajmie się zagrożeniami dla Polski w postaci takich Płatników czy nowej “elektronicznej sprawozdawczości” wymyślonej przez Mateuszka, dzięki czemu wywiadownie gospodarcze całego świata mają polskie firmy jak na tacy dzięki krążącym mailami (która blondi z księgowości wie, że poczta nie jest szyfrowana i umie ją szyfrować?) pdf-ami do podpisania pomiędzy członkami zarządów, audytorami, księgowymi itp… Czy media o tym w Polin piszą? Nie! Za to jest pełno “Rosjanie nadchodzą!”, “Chińczycy nadchodzą” itp. brednie. I w Polsce jest takie totalne skretynienie, że wszyscy jak barany podpisują xml wygenerowane przez apkę webową z ministerstwa finasów, a ta apka z bilansu tworzy xml do podpisania, ale… nie umożliwia odtworzenie z xml postaci “czytelnej dla człowieka”, więc barany z zarządów firm de facto nie wiedzą co podpisują, ale podpisują i to podpisami kwalifikowanymi, z mocy prawa niezaprzeczalnymi… :)

  4. W momencie kiedy mowimy o obowiazkowej aplikacji “ta i tylko ta” wymuszonej przez chinski rzad nie ma sensu sie zastanawiac czy rzad jest winny czy nie, bo jest 100%. O czym mozna rozmawiac to strona mechaniczna tego co sie stalo: czy byla to niekompetencja? moze korupcja? czy tez celowe dzialanie?

    • Ps. Pozostaje to tez prawdziwe dla innych rzadow, patrz ewentualny wyciek danych osobowych polakow ktore wyslano polskiej poczcie… :p

  5. Jaki jest najlepszy darmowy oraz najlepszy płatny antywius wg. niebezpiecznika? Szukałem na stornie ale zdzwiiłem sie ze nie znalazłem nic o tym.

    • Choc nie jestem niebezpiecznikiem, to troche podpowiem.
      To nie jest pytanie z jednoznaczna odpowiedzia. Nie dość ze dla każdego systemu operacyjnego oraz typu malware sa rozne wyniki, to jeszcze w dodatku liderzy w wykrywalnosci sie zmieniaja w czasie.
      Co wiecej, sama wykrywalnosc to nie wszystko – np. AV 1 moze wykrywac 97% trojanow “in the wild”, ale za to nie wykrywac zupelnie nowych zagrozen, a AV 2 wykrywac 95% starych trjanow, ale blokowac polowe nowych, jeszcze nie wykrytych.
      I do tego jeszcze jest rozna wydajnosc i spowolnienie pracy.
      Zeby jednak cos konkretnego odpisac, to dla Windowsow (najpopularniejsza platforma) na topie regularnie sa trzy antywirisy: rumunski Bitdefender, niemiecka Avira i czeski Eset.

  6. Na Ukrainie zainfekowano popularny program księgowo-rozliczeniowy typu Symfonia a nie oficjalne oprogramowanie skarbówki jak e-Deklaracje w Polsce.

  7. Ta historia ma dalszy ciag: Tydzien po opublikowaniu raportu, backdoor otrzymal update, ktory go po cichutku usuwal bez sladu (zrodlo: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/goldenspy-chapter-two-the-uninstaller/ ). Po czym, kiedy nawet ten uninstaller zidentyfikowano, razem z IPkami, hashami, etc, pojawil sie kolejny update z innymi hashami i IP, prawdopodobnie w celu unikniecia wykrycia (zrodlo: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/goldenspy-chapter-3-new-and-improved-uninstaller/ ). Sprawe potwierdzilo FBI – https://www.govinfosecurity.com/fbi-warns-us-firms-over-malware-in-chinese-tax-software-a-14705 . Potem jeszcze kilka innych firm potwierdzilo istnienie trojana we wczesniejszych wersjach softu do podatków – https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/goldenspy-chapter-4-goldenhelper-malware-embedded-in-official-golden-tax-software/.
    Sprawa jest wieksza niz podluchiwanie historii przegladarki przez google i microsoft, poniewaz znaleziono rowniez dowody na to, ze dzieki temu oprogramowaniu, sciagano dane klientow zainfekowanych klientow. Wiec firma X mogla miec skradzione dane tylko dlatego ze wymieniala je z zainfekowana firma Y, ktora robila transakcje w Chinach…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: