11:23
2/7/2021

Jak wynika z informacji, które otrzymaliśmy, węgierska spółka Dorsum.eu, od niedawna także z oddziałem w Polsce, została zhackowana. Choć firma może nie być Wam znana, to informacja ta jest dość ważna, bo Dorsum dostarcza oprogramowanie m.in do banków z których korzystają Polacy.

Atak na “łańcuch dostaw”

Wedle pozyskanych przez nas informacji, spółka miała paść ofiarą atakujących w połowie czerwca. Atakujący wykorzystać mieli błąd w serwerze JBoss, a następnie dokonać penetracji sieci i przejąć kontroler domeny. Mieli też mieć dostęp do serwerów wykorzystywanych do budowy oprogramowania — i to właśnie może być kluczowe zagrożenie, bo w takiej sytuacji istnieje ryzyko, że ktoś doda złośliwy kod do aktualizacji oprogramowania, a następnie w ten sposób dostanie się do infrastruktury firm, które z tego oprogramowania korzystają. A tu mówimy o szeroko rozumianym sektorze finansowym.

Nie jest jasne na tym etapie, czy taki scenariusz miał miejsce i czy dokonano złośliwej modyfikacji oprogramowania, które następnie, np. w formie aktualizacji, mogło zostać rozdystrybuowane do klientów — w tym m.in. banków działających na terenie Polski.

Gdyby tak się stało, to ten atak byłby podobny do głośnego ostatnio ataku Solarwinds czy NotPetya lub CCleaner, gdzie także wszystko zaczęło się od przejęcia dostawcy oprogramowania (tzw. “supply chain attack”). Za tamtymi atakami stali “rządowi hackerzy”. Czas pokaże, czy atak na Dorsum uda się przypisać do klasy “state-sponsored“.

Firma Dorsum dostarcza oprogramowanie do tzw. Wealth Management, ale nie jest powiedziane, że celem ataku na firmę było przejęcie informacji lub pieniędzy tych “bogatszych” klientów. Dorsum mogło być postrzegane jako po prostu drzwi wejściowe do infrastruktury firm z sektora finansowego, gdzie wartością są nie tylko pieniądze ale i informacje.

Poprosiliśmy przedstawiciela firmy Dorsum na Polskę, Macieja Świderka, o informacje w sprawie tego incydentu jeszcze wczoraj, ale do tej pory nie otrzymaliśmy żadnego oświadczenia w tej sprawie. Jeśli takie wpłynie, opublikujemy je w aktualizacji.

BNP Paribas przygotowany

Ustaliliśmy, że odbiorcą usług od Dorsum jest m.in. polski oddział BNP Paribas. Zapytaliśmy więc, czy informacje, które posiadamy odnośnie tego incydentu dotarły do banku od spółki. Odpowiedzi błyskawicznie udzielił nam Zespół CSIRT Banku BNP Paribas, który — co uspokajające — pochwalił Dorsum za dobry kontakt w tej sprawie:

Zaraz po wykryciu ataku przez firmę Dorsum poinformowano bank o incydencie. W ramach obsługi incydentu na bieżąco była utrzymywana komunikacja Dorsum z bankiem.

Dopytaliśmy więc, czy BNP Paribas zauważył już może jakąś niepokojącą aktywność dotyczącą oprogramowania firmy Dorsum lub ewentualnych dostępów serwisowych pracowników firmy Dorsum w swojej sieci?

Mimo braku stwierdzenia niepokojącej aktywności, z chwilą wpłynięcia informacji o incydencie, w ramach wewnętrznych procedur zostały zastosowane wszystkie środki prewencyjne do czasu pełnego wyjaśnienia incydentu. Ponadto został przeprowadzony dodatkowy monitoring pod kątem bezpieczeństwa oprogramowania dostarczanego przez zewnętrzne firmy, a także sprawdzono systemy pod kątem potencjalnego wycieku danych. Podjęte działania potwierdziły brak nieprawidłowości. W ramach obsługi incydentu poinformowano również CSIRT KNF.

Przy okazji, zapytaliśmy, czy tego typu ostrzeżenia o możliwym ataku, pochodzące od dostawców, którzy stali się ofiarami ataku, zdarzają się często.

W ramach umów banku z dostawcami, zapisy obligują dostawcę do poinformowania o potencjalnym zagrożeniu bezpieczeństwa. Z chwilą wykrycia jakiegokolwiek incydentu u dostawcy, bank natychmiast otrzymuje taką informację i podejmuje prewencyjne działania.

Podobne procedury są we wszystkich znanych nam bankach, więc nawet jeśli nie jesteście klientami BNP Paribas, a innego banku który może wykorzystywać oprogramowanie firmy Dorsum, to możecie być pewni, że odpowiedni ludzie już trzymają rękę na pulsie.

Bankowy zespół CSIRT podkreślił też, że obsługa tego incydentu nie wykazała żadnych znamion naruszenia danych osobowych lub środków finansowych klientów banku. Co więcej, na podstawie przeprowadzonych analiz incydentu po stronie Dorsum, do których bank ma dostęp, “firma (Dorsum — dop. red.) wyłączyła możliwość naruszenia danych osobowych lub środków finansowych Klientów banku“.


Aktualizacja 3.07.2021, 15:03
Otrzymaliśmy odpowiedź od Macieja Świderka, załączamy ją poniżej:

w trakcie całego procesu współpracowaliśmy z ekspertami krajowymi i
międzynarodowymi jednocześnie zachowując pełną przejrzystość wobec naszych klientów. Przez
ostatnie 10 dni nasi koledzy byli w codziennym kontakcie z klientami (w tym z działami biznesowymi,
IT i bezpieczeństwa IT), informując ich regularnie o najnowszych aktualizacjach. Obecnie
zakończyliśmy etap oceny szkód i weszliśmy w fazę odbudowy. Dzięki pomocy naszych zewnętrznych
audytorów i partnerów konsultingowych mamy już kompletny raport z incydentu. Oto kilka
szczegółów, którymi mogę podzielić się na tym etapie:
 Atak najpierw uderzył w jeden z naszych serwerów testowych działających w chmurze Oracle,
który został wykorzystany do włamania do wewnętrznego serwera aplikacji testowych, który
był punktem dostępu do naszej sieci wewnętrznej.
 Celem ataku było wykorzystanie mocy obliczeniowej naszych serwerów w celu wydobycia
kryptowalut. Zagrożenie zostało zidentyfikowane i szybko wyeliminowane.
 Współpracowaliśmy z kilkoma partnerami zewnętrznymi, zarówno w ocenie, jak i w kolejnych
fazach naprawy i odbudowy, w tym:
o Dział ITSec, który pomógł odkryć incydent i zaprojektować naszą nową architekturę
o Subscuto (węgierskie biuro Palo Alto Networks), które pracowało nad badaniem
incydentu niezależnie i równolegle do ITSec Area
o Węgierski Telekom, gdzie będziemy rozwijać naszą nową infrastrukturę chmurową, a
ich eksperci będą uczestniczyć w projektowaniu naszej architektury sieci
o Prowadzimy również rozmowy z firmami doradczymi z Wielkiej Czwórki w celu
przeprowadzenia audytu naszej nowej infrastruktury

 Dochodzenie w sprawie incydentu zajęło tydzień, w którym skrupulatnie omówiliśmy każdy
incydent krok po kroku z naszymi partnerami audytorskimi, więc poniższe ustalenia nie są
wstępnymi założeniami, ale bezpośrednimi cytatami z ich raportu końcowego:
1) Nie doszło do wycieku danych
2) Kody źródłowe Dorsum nie zostały naruszone
3) Nie ma śladu jakichkolwiek prób ataków na sieci naszych klientów

Mam konto w polskim banku, czy jest się czym przejmować?

Jak widać na przykładzie BNP Paribas, banki, które są odbiorcami rozwiązań od Dorsum.eu zostały poinformowane i zapewne podobnie jak BNP Paribas, szybko podjęły odpowiednie działania polegające na weryfikacji czy w segmentach sieciowych gdzie znajdowało się to oprogramowanie pojawiały się niepokojące sygnały mogące świadczyć o szkodliwym działaniu lub obecności włamywaczy.

Nie ma więc powodów do paniki. Zwłaszcza, że polskie banki po “ataku na KNF” 4 lata temu uporządkowały wiele kwestii, jeśli chodzi o reakcję na zagrożenia i współpracę między sobą (zwracamy uwagę na zdanie o powiadomieniu przez BNP Paribas CSIRT KNF-u). Sprawie na pewno pomaga też to, że w bankowych zespołach bezpieczeństwa pracują jedni z lepszych specjalistów dostępnych na rynku, a ryzyko związane z atakami supply-chain jest rozpatrywane standardowo w kontekście każdego z dostawców.

Naszym zdaniem jest mało prawdopodobne, aby w tym wypadku ziściły się czarne scenariusze. Ale gdyby do tego doszło, klienci banków na pewno nie mają się czego obawiać, jeśli chodzi o stan salda. Trochę gorzej sprawa wygląda przy naruszeniach związanych z danymi osobowymi, ale nie wyobrażamy sobie, aby nie zostali powiadomieni jeśli jakiś bank stwierdzi takie naruszenie.

Jeśli Wasza firma jest odbiorcą oprogramowania od Dorsum, a nie otrzymaliście jeszcze żadnego ostrzeżenia, proponujemy przejrzeć aktywność sieciową i przeanalizować zachowanie serwerów na których znajduje się to oprogramowanie. Jeśli w ostatnich tygodniach przez pracowników lub serwisantów firmy realizowane były prace w Waszej infrastrukturze, rozsądnie będzie wymusić zmianę haseł i przejrzeć logi z ich aktywności, zakładając najgorsze — że to nie prawdziwy pracownik tej firmy odwiedził Wasz system…

Tak w ogóle, to warto to robić regularnie w kontekście każdego z dostawców zewnętrznych, niezależnie od tego incydentu. Warto też czasem samemu poatakować swoją sieć, wcielając się w “hackerów”. A jak to się robi? A na przykład tak jak pokazujemy tutaj.

Przeczytaj także:

13 komentarzy

Dodaj komentarz
  1. A akurat dziś padł mi token do logowania się do BNP. Przypadek?
    Możliwe.

  2. “czy tego typu ostrzeżenia o możliwym ataku, pochodzące od dostawców, którzy stali się ofiarami ataku, zdarzają się często?”

    Jak ja nienawidzę wymijających odpowiedzi od przedstawicieli firm…

    Pytanie o częstotliwość incydentów zewnętrznych dostawców oprogramowania a odpowiedź w ogóle nie na temat…

    “W ramach umów banku z dostawcami, zapisy obligują dostawcę do poinformowania o potencjalnym zagrożeniu bezpieczeństwa.”

  3. To banki też kupują oprogramowanie bez wglądu w kod źródłowy tego oprogramowania?

    Myślałem, że chorych psychicznie kretynów mamy tylko w Rządzie.
    :P

    Pozdro

  4. O linkedin milczycie?

    • A linked in to fajna sprawa – taki wyciek dla wielu bez wycieku. Niby haseł nie ma, ale ale – piękne zestawienie do korelacji.

  5. o kurcze … – open source zawodzi. A przecież miliony oczu patrzy w kod

    • Kurcze, tak szukam po sieci informacji o tym incydencie, może jakieś namiary na to, że błąd jest kodzie JBoss… Inaczej to wróżenie z fusów, a szklaną kulę żona zgubiła…

    • Widzisz – wystarczy że ktoś nie przejmuje się aktualizacją i/lub poprawną konfiguracją. To samo może spotkać (i spotyka) zamknięte rozwiązania.

  6. “Mam konto w polskim banku, czy jest się czym przejmować?” Albo odpowiedź jest zbyt wąska, albo pytanie o wiele za szerokie :)))

  7. “więc nawet jeśli nie jesteście klientami BNP Paribas, a innego banku […], to możecie być pewni, że odpowiedni ludzie już trzymają rękę na pulsie.”
    Pewnym, to można być swego końca w jakimś momencie… ;) We wszystko inne możemy (powinniśmy) jedynie wierzyć, że jest tak jak się nam mówi.

    PS Trochę z innej beczki. Kilka dni temu dzwoniłem do swojego banku i po dłuższym czasie oczekiwania odebrała kobieta z wyraźnym akcentem wschodnim. Mówiła po polsku całkiem ok, ale mimo wszystko zaskoczyło mnie, że nie trafiłem na nativa. Mam nadzieję, że do banku się dodzwoniłem, a nie-nativ to tylko kwestia tego, że wszyscy inni konsultanci byli zajęci. ;)

    • A dzwoniłeś do jakiejś infolinii w ciągu ostatnich kilku lat? To chyba teraz standard. No może jeszcze nie taki jak obsługa brytyjskich klientów w Bangalore ale jednak Polska staje się na tyle atrakcyjna dla zagranicznych pracowników, że pracują u nas.

  8. ,,Celem ataku było wykorzystanie mocy obliczeniowej naszych serwerów w celu wydobycia kryptowalut”

    Ta jasne

Odpowiadasz na komentarz ktos

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: