20:25
6/10/2014

Zaczęło się jak w westernie — od ataku na bank. W połowie sierpnia bieżącego roku w trakcie kontroli sieci JP Morgan Chase spostrzeżono, że z bankowych serwerów od dłuższego czasu wypływają dane. Grupa włamywaczy przez 2 miesiące wyprowadziła informacje na temat klientów banku. JP Morgan na początku mówił o milionie poszkodowanych, ale atakujący zbiegli jednak ze znacznie większym łupem — danymi 76 milionów amerykańskich gospodarstw domowych (65% wszystkich gospodarstw w USA!) oraz informacjami o 7 milionach firm.

JP Morgan Chase, fot. Steve Rhodes @ Flicker, lic. CC.

JP Morgan Chase, fot. Steve Rhodes @ Flicker, lic. CC.

Wykradziono sporo danych, ale nie kluczowe

W tym ataku na bank nie zginęły żadne pieniądze. Stan kont jest nienaruszony. Ale wśród danych skradzionych przez napastników znalazły się takie informacje jak:

    imię i nazwisko,
    nazwa firmy,
    numery telefonów,
    adres zamieszkania
    adresy email.

Skradzione zostały również bliżej nieokreślone w oświadczeniu firmy:

wewnętrzne informacje na temat użytkowników JP Morgan Chase

Domyślać się można, że w ich skład mogą wchodzić m.in. wyniki analiz systemów Big Data, przetwarzających dane o przelewach i aktywności finansowej celem utworzenia spersonalizowanego „profilu” klienta (por. Wywiad wiceprezesa Alior Banku, czyli profilowanie klientów i sprzedawanie danych na ich temat innym firmom).

JP Morgan uspokaja jednak, że najbardziej poufne informacje, takie jak numer ubezpieczenia, numery kont, hasła i ID użytkowników nie zostały skradzione. A przynajmniej nie ma dowodów na to, że włamywaczom udało się aż tak głęboko spenetrować bazy danych JP Morgan…

NYT podaje jednak, że atakujący zapoznali się z listą oprogramowania wykorzystywanego przez JP Morgan. Dzięki czemu mogą oni sprawdzić, który z programów nie jest w najnowszej wersji i jakie błędy posiada — a następnie wykorzystać to do ataku na pracowników banku (lub poszczególne serwery). JP Morgan szacuje, że “odświeżenie licencji” zajmie długie miesiące, a więc włamywacze mają trochę czasu…

Dziura w stronie internetowej i brak reakcji kupionego za setki milionów systemu antywłamaniowego

Według informacji do jakich dotarł Bloomberg, atakujący wykorzystali nieznany dotąd atak na jedną z głównych stron świadczących usługi bankowe JP Morgan Chase (nie podano o którą stronę chodzi).

Poprzez lukę w stronie wprowadzono do sieci JP Morgan złośliwe oprogramowanie, które obeszło reguły firewalla i było w stanie niezauważone wyprowadzać przez 2 miesiące gigabajty danych. Dopiero rutynowa kontrola administratorów sieci w sierpniu wykazała wyciek danych. Do czasu interwencji administratorów, calutki system bezpieczeństwa sieci JP Morgan Chase, na który firma wyłożyła w samym 2014 roku 250 milionów dolarów, nie wykazał żadnych anomalii.

Rosyjski wątek włamania

Osoby, które dokonywały analizy powłamaniowej zwróciły uwagę na to, że użyty w ataku malware jest dość skomplikowany, a więc cała operacja musiała być niezwykle precyzyjnie przygotowana. Dane wyprowadzane były przez szereg serwerów proxy, kończąc swoją podróż gdzieś w Rosji.

Firma sugeruje, że kradzież danych o amerykańskich użytkownikach firmy może być próbą rewanżu ze strony Rosji, którą USA obłożyło poważnymi sankcjami. Ale wiemy przecież, jak to z serwerami proxy jest — dziś każdy może udawać, że łączy się z internetem z dowolnego miejsca na świecie, znajdując się w zupełnie innej lokalizacji. Dlatego wybór Rosji można postrzegać również jako chęć innego kraju do celowego zaognienia stosunków między USA a Rosją.

Prawda może także leżeć pośrodku — rosyjskie organizacje przestępcze są mocno obeznane z technikami internetowych ataków i często współpracują z Kremlem. W trakcie wojny w Gruzji w 2008 roku to właśnie botnety rosyjskich grup przestępczych użyto do przeprowadzania ataków na gruzińskie media i administracje publiczną. Z rozkazu Putina czy nie, rosyjscy cyberprzestępcy są w stanie dokonywać ataków takich jak kradzież danych np. z JP Morgan. Czy to jednak na nich spoczywa faktyczna odpowiedzialność, wykazać musi dalsze śledztwo.

PS. Rosja ma prawo być obrażona na amerykański sektor finansowy. VISA i Mastercard ostatnio rozważały wycofanie się z Rosji — po tych informacjach Rosja zapowiedziała stworzenie własnego odpowiednika tych organizacji.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. Tylko jednego nie rozumie już nie oceniając wielkości firmy, jakie programy za $ mają ale Osoby Myślące tam siedzą na stanowiskach obsługi sieci i nie są po byle jakim wykształceniu. To w tych czasach ochrona = program, sprzęt i reszta w czterech literach chyba :/ Bo nawet ja bez wiedzy specjalistycznej i programów zjadających transfer ale płacąc za każde 1Mb syfa znalazłem w systemie do neta, dane w systemie a dane na smarcie miały rozbieżność ” smartfon jako modem robił” a bez pakietu oko przykuwa się do MB i znikaniu kasy z karty:) Dla wyjadaczy, to ja i moje małe dane ale tam ludzie z wykształceniem i pensją fajną i takie cyrki….

    • Bij zabij nic nie rozumiem z tego co napisałeś :-) Ale fajnie czytać porównania “ja umiem kontrolować internet na karcie prepaid, więc obsługę internetową 7mln firm też dam radę”

    • , <- masz tu przecinek, skopiuj sobie, bo chyba ci nie działa.

      Niestety nie jestem w stanie wkleić tu umiejętności budowania sensownych zdań, więc odsyłam do ksiażek.

    • “Jadłem Pawełka z adwokatem , więc wiem co to melanż” … tak mi się skojarzyło ;)

    • @Tomek
      O…żesz… niech Cię :) Dobrze, że chwilę wcześniej odstawiłem kubek z herbatą. Artykuł ważką kwestię poruszył, kolega uderzył w marnotrawstwo, a Ty – o kopiowaniu przecinka. No, już dawno się tak na Niebezpieczniku nie ubawiłem :)
      Oczywiście, zgadzam się z Tobą :)

  2. A mi to wygląda na zwykłą ściemę, w realu największym wrogiem hameryki są terroryści, a w sieci Chiny, Rosja, ewentualnie Iran. No bo jakby to wyglądało, jak to wytłumaczyć klientom banku, że system za tyle pieniędzy obeszło kilka osób bez wsparcia rządowego naszych wydumanych wrogów.

  3. Ja mam zetke z papiera a oni mają ? Jaki uniwerek ? i ile osób tym się zajmuje, to nie jest niszowa firma a moloch… Zablokowałem system w wymianie danych bo nie miałem możliwości pakietowania danych a gineły mi złocisze a tam ludzie niby tęgie umysły i takie włamania… Dlatego się zastanawiam jak to możliwe? Administracja i góra ma to trochę zlewnie na kwestie bezpieczeństwa i nie tylko u nich…

    • Adrianie jeszcze nie wiesz czego nie wiesz. W JP Morgan mają tysiące serwerów rozmieszczone po całym świecie wystawionych na świat. Z tego co jest napisane, wynika że napastnicy wykorzystali specjalnie przygotowany malware. JP Morgan ma też setki podwykonawców i nie wiadomo publicznie w jaki sposób udało się dostać oraz wydostać z sieci. Mając system nawet za pierdyliard dolarów jest szansa na jakąś lukę. Ten atak nie był tak prymitywny jak Twój przypadek. Nie ma sensu gdybać i porównywać jeśli nie miało się do czynienia z na prawdę dużymi systemami.

    • To nie jest tak, że w USA każdy jest super wykształcony. Czasami w wielkich korpo jako programiści czy admini pracują ludzie przypadkowi…

    • Człowieku jak masz laptopa i smartfon to zapanujesz nad tym. Natomiast przy (już) 2 lokacjach fizycznych, 20 serwerach oraz 50 końcówkach sieci samodzielnie nie masz już szans. Do tego są specjalnie rozwiązania (soft,hard,hybryd), nawet opluwany przez wszystkich Windows podpięty do domeny pozwala na łatwe i kompleksowe zarządzanie końcówkami.

      Ps. Jak mawiał mój mentor KAŻDE OPROGRAMOWANIE WPROWADZA LUKI BEZPIECZEŃSTWA, TYLKO NA RAZIE ICH NIE ODNALEZIONO. Tyczy się to również oprogramowania monitorującego.

      PS2. Nigdy nie przewidzisz wszystkiego co mogą spróbować TWOI ludzie po INTERNAL a co dopiero wyszkoleni po EXTERNAL-u

    • masz racje. w sierpniu wyjechalem za granice, pracuje w firmie ktora produkuje STB dla IPTV. to co tu zastalem, wola o pomste do nieba i nie jest to kwestia kosztow. mam wszystko czego potrzebuje, a jak czegos nie mam to firma to kupuje. poprostu czesto stanowiska typu linux systems administrator zajmuja ludzie ze srednia wiedza lub zwyczjanie leniwi.

  4. I jak tu się nie dziwić że cyber przestępczość ciągle rośnie jak ciągle takie jaja są, po prostu firmy mają w dupie bezpieczeństwo i tyle. Po co aktualizować na nowszą wersję jak aktualna dobrze działa a jak by to i tak mieli zroibić to by musieli usługi wstrzymać i “wielki zachód” by dla nich był z tym. pffff bardzo tak im dobrze jak nie dbają o bezpieczeństwo i wcale ich mi nie żal.

    • @Mielonka_Tuż_Tuż – skąd twierdzenie, że firmy mają w dupie bezpieczeństwo po lekturze tego “artykułu”? Chyba nie wyobrażasz sobie, że poważna firma aktualizuje automatycznie każdy soft na komputerach swoich pracowników jak tylko wyjdzie jakaś poprawka.
      Firma inwestuje w systemy bezpieczeństwa w dobie powszechnych cięć kosztów, na serwerach przeprowadzane były kontrole, byli w stanie określić jakie dane wyciekły – to wszystko wskazuje raczej na dość wysoką wagę przykładaną do tematów bezpieczeństwa.

      Co oczywiście nie zmienia faktu, że wyciek danych 75 milionów klientów jest mega wtopą i z pewnością wiele możnaby się nauczyć z analizy tego przypadku. Niestety w tym celu trzeba by zatrudnić się w JP Morgan :/

    • @mielonka – to znasz jakiś krytyczny (bankowy, lotniskowy, szpitalny) który sie “od ręki” aktualizuje???

  5. Wszyscy wiemy jak wielką władzę na świecie ma JP Morgan. Ze względu na to, z ich wirtualnego skarbca mogłyby wypłynąć wszelkie środki finansowe i świat nigdy by się o tym nie dowiedział. Jestem w 100% pewien, że kłamią co do zakresu danych jakie zostały wykradzione.

    • Wszyscy wiemy, jak wielką władzę na świecie mają ninje. Ze względu na to, mogliby wybić z ukrycia całą ludzkość i świat nigdy by się o tym nie dowiedział. Jestem w 100% pewien, że kłamią co do zakresu dotychczas wykonanych cichych zabójstw.

    • Oczywiście, że kłamiemy. Zawsze kłamiemy.

    • @Ninja – cieszę się, że się w końcu przyznałeś, od dzisiaj będziemy Ci to zawsze przypominać pod twoimi postami…

      ;]

  6. “botnety rosyjskich grup przestępczych użyto”
    Poprawnie powinno być “botnetów rosyjskich grup przestępczych użyto” lub “botnety rosyjskich grup przestępczych zostały użyte”.
    Pozdrowienia z Gramatycznego Szańca ;)

    • Jawohl! Grammatik macht frei ;)

  7. Tak się zastanawiam ilu z ludzi piszących komentarze, o tym, że w JP morgan mają kijowych informatyków kiedykolwiek zarządzała czymś więcej niż telefonem. Ja administruję kilka serwerów i niestety włamania są. A to klient sobie stronkę zasyfi, a to ktoś poda hasło gdzie nie trzeba. Żeby nie było włamań trzeba by było do każdego serwera posadzić bardzo ogarniętych programistę i admina. Admin cały czas monitoruje a programista pisze customowy soft pod konkretne rozwiązania.

    • Przecież wiesz że nie o to chodzi. Włamania są. Oczywiście. Przy dziurce w bashu się okazało ile na świecie na produkcji jest bardzo starych serwerów – oczywiście. Wszystko fajnie.

      Ale oni (JPMC) nie prowadzą serwisu społecznościowego ani bloga – tylko bank. Tam nie ma klienta co sobie stronke zasyfi ani poda hasło gdzie nie trzeba (w znaczeniu nie powinno być). W dodatku kuriozalne 250mln na IDS + teksty typu “odświeżenie licencji zajmie długie miesiące” – z kontekstu wynika że “długie” to nie 2, 3 ani 4. Prędzej 6. Pół roku?

      W sumie pewnie jest jak u nas w Polściej firmie jednej – w sumie dużej i międzynarodowej. Dyrektor działu IT i jego zastępca (do roboty), 5 kierowników do różnych spraw (nikt nie wie do czego, ale strach się kogoś zapytać bo nikt nie wie – a skoro nikt nie wie to znaczy że coś na rzeczy i lepiej sie nie pytać – pewnie rodzina), sekretarka, 1 starszy admin, 2 młodszych, 3 praktykantów. Nie będe pisał że Dyr+Kiery zarabiają tyle że bryke mogą zmieniać co pół roku – a ci poniżej starszego admina jeszcze się nie wypalili (z czego praktykantom brak doświadczenia i wiedzy). Ale starszy admin ma wszystko w d*, pamięta jeszcze Odre i dopóki działa to lepiej przy nim nie wspominać o absolutnie żadnych zmianach – wprowadzenie chociażby SPF (podesłane mailem, okraszone opisem i linkami np. do openspf.org) skwitował że “nie będzie się zapisywał na żadne strony!”. To taki zabawny epizod (i cytat). Polska!

      Tam pewnie też jest taki “Rysio” czy inny “Carl” – i dopóki tacy ludzie (którzy już nie umieją, się wypalili, znaleźli na stanowisku przez znajomości albo zasiedzenie albo przypadek) nie znikną to będzie jak jest. Czyli? Będzie tylko gorzej. Miłego dnia :D

  8. Błędy i dziury oprogramowania są i będą… A w tym wszystkim chodziło mi o to że firma która ma zysk netto “21,30 mld USD (2012) ” z wiki wciągałem :> To ochronę ma gdzieś tam w systemie korporacyjnym ” między d… a żołądkiem”. I dam czytelnikom jak ja -Pod koniec 2000 r. grupa posiadała ponad 120 milionów klientów i około 275 tysięcy pracowników.- Tam jest patologia… To jak by u nasz zUs opędzlowali, tylko on kasy niema realnej ale dopływową…. Czas przychodzi że na bezpieczeństwo danych firmy będą musiały płacić tak jak i my im za prowadzenie naszych spraw… To wszystko co miałem w tym temacie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.