14:10
7/2/2017

Od 2 tygodni na naszą redakcyjną skrzynkę spływały różne informacje, wskazujące, że w polskich bankach może dziać się “coś niedobrego”. Piszące do nas osoby nie dysponowały pełną wiedzą i początkowo nie łączyliśmy poszczególnych incydentów w różnych instytucjach ze sobą. Ale w zeszły czwartek “padła” strona KNF-u i kiedy zaczęliśmy rutynowo “węszyć” za powodem tej awarii, trafiliśmy na szereg dodatkowych informacji, które ukazały kulisy tego, co od kilku tygodni (a może nawet od kilku miesięcy) działo się w polskim sektorze bankowym oraz ubezpieczeniowym. Ale nie tylko tam. Bo celem atakujących były także instytucje finansowe spoza Polski. Przestępcy czaili się też na m.in. na Urząd Miasta Warszawy oraz osoby korzystające z łącz największych operatorów…

Mamy problem, pomóżcie!

“Afera” miała rozpocząć się od incydentu, jaki w swojej sieci zidentyfikował jeden z mniejszych w Polsce banków, który w kontekście różnych wpadek pojawiał się już wielokrotnie na łamach Niebezpiecznika. Klienci tego banku donosili nam w ostatnim czasie o pewnych nowych problemach, ale nie mieliśmy powodów by łączyć je ze sobą oraz z tym co dzieje się w innych instytucjach, choć zdarzenia opisywane przez klientów, sugerowały, że w tym banku tym dzieją się naprawdę dziwne rzeczy.

Być może z tego powodu bank ten zwrócił się o pomoc do kolegów “z branży”, a ci — jak to zazwyczaj bywa — zaczęli szukać śladów podobnych incydentów w swoich sieciach. Wtedy okazało się, że podobne w działaniu złośliwe oprogramowanie, znajduje się także w ich sieciach. Niech was nie zmyli, że współpracę banków i informacje między nimi opisaliśmy w 2 zdaniach. W rzeczywistości, była to długa droga przez mękę. Instytucje finansowe niechętnie dzielą się danymi i ten opór generuje zrozumiałe opóźnienia w ustalaniu szczegółów incydentów, które dotykają więcej niż jeden bank, nie mówiąc już o sytuacji, w której poszkodowanych jest kilkanaście instytucji finansowych, a problem dotyczy także ubezpieczycieli i firm spoza tego sektora. Na szczęście poza oficjalnym stanowiskiem zarządów banków, osoby na stanowiskach technicznych znają się między sobą i nieoficjalnie w ostatnich tygodniach bardzo często się ze sobą kontaktowały wymieniając informacje, które w oficjalnej komunikacji zapewne nigdy nie mogłyby zostać pomiędzy bankami udostępnione.

Oficjalnie polskie banki wymieniają się komunikatami bezpieczeństwa przez System Wymiany Ostrzeżeń o Zagrożeniach (SWOZ). To właśnie w ramach tego systemu po pierwszych analizach pojawiły się raporty od niektórych banków. Jeden z pierwszych komunikatów nadał, już 1 lutego, zespół CERT z Banku PKO. W komunikacje który nosił tytuł “Kampania złośliwego oprogramowania” i któremu przyznano poziom TLP:AMBER napisano:

W związku z rozpoznanym zagrożeniem, którego celem są infrastruktury polskich banków przeprowadzona została wstępna analiza pozyskanych próbek (…) Wektor infekcji: Z pozyskanych informacji z zewnętrznych źródeł danych o incydentach oraz z obserwacji ruchu sieciowego w październiku 2016 wnioskujemy, że źródłem infekcji przedmiotowym zagrożeniem była domena www.eye-watch.in. Rozpoznano, że infekcja wynikała z przekierowania umieszczonego na jednym z polskich portali odwiedzanych przez pracowników sektora finansowego. Oryginalnej próbki droppera nie udało się pozyskać. Aktualnie domena nie jest rozpoznawana jako złośliwa.

Swoją analizę udostępnił też innym bankom zespół reagowania na incydenty w Raiffeisen, dodając informacje o domenie update.toythieves.com (76.9.60.204) oraz próbach pobrania pliku perfmon.dat z serwera w domenie www.eye-watch.in. Więcej szczegółów technicznych (adresy IP z którymi kontaktował się trojan i domeny z których pobierał informacje oraz pliki jakie zostawiał w systemie) znajdziecie na końcu naszego artykułu.

Dodatkowo, w piątek w sprawie ataków odbyło się spotkanie z organami ścigania, a wczoraj, 6 lutego spotkanie w Związku Banków Polskich. Sprawa jest więc rozwojowa, ale już teraz posiadamy pewne sprawdzone w niezależnych źródłach informacje, które dość dobrze opisują, jak przebiegał atak. Zanim jednak do jego opisu przejdziemy, musimy poczynić 2 ważne uwagi wstępne, aby nikt nie odniósł mylnego wrażenia po lekturze naszego artykułu:

  • Bez paniki! Nie ma żadnych dowodów na to, że jakiekolwiek środki finansowe klientów jakiegokolwiek banku są czy też były zagrożone. Nie musicie chować pieniędzy do skarpety. Większość polskich banków, co zresztą pokazuje niniejszy incydent, dysponuje specjalistami na najwyższym poziomie technicznym i wierzcie nam, że żaden z banków nie ignoruje nawet najmniejszych przesłanek związanych z niniejszym atakiem. Trwają burzliwe narady i każdemu zależy na jak najszybszym zrozumieniu i wyjaśnieniu incydentu. Zależy na tym wszystkim bankom, nawet tym, które nie znalazły śladów złośliwego oprogramowania wykorzystanego do tego ataku w swojej sieci.
  • Ataki na banki to nic nowego. Infekcje złośliwym oprogramowaniem stacji roboczych pracowników Banków, podobnie jak każdej innej organizacji, są na porządku dziennym. Wykrywa się je i obsługuje. Nie istnieje bank, którego stacja robocza nigdy nie została zainfekowana jakimś złośliwym oprogramowaniem (a jeśli któryś tak twierdzi, to kłamie). Znalezienie przez bank złośliwego oprogramowania na swoich komputerach to nie powód do postrzegania banku w złym świetle. Infekcje złośliwym oprogramowaniem są nieuniknione — dlatego w bankach wdrożonych zostało wiele różnych warstw systemów monitoringu i wygrywania oraz ochrony przed włamaniami, które są w większości zarządzane przez najbardziej kompetentnych ludzi na rynku. Dzięki temu w ogóle banki, w przeciwieństwie do innych firm, dysponują informacjami dotyczącymi incydentów: mają logi, mają SIEM-y, mają laboratoria, w których mogą odtwarzać infekcje i analizować próbki. Inne organizacje nie zawsze są tak dobrze przygotowane. Jeśli więc jakiś atak spotka banki, można mieć pewność, że zostanie precyzyjnie przeanalizowany.

Jak przebiegał atak?

Nikt z naszych informatorów, ani osób analizujących incydent nie ma 100% pewności co do źródła ataku. Wszystko wskazuje na to, że źródeł mogło być wiele. Nie tylko KNF. Niektórzy jednak, na podstawie kilku przesłanek (o tym później) łączą znalezione w polskich bankach złośliwe oprogramowanie z włamaniem na stronę Komisji Nadzoru Finansowego. Co tam się stało? Atakujący wykorzystali tam dziurę w serwerze JBOSS i do jednej z bibliotek JavaScript, osadzonej na podstronie KNF, wedle raportów jakie widzieliśmy, 7 października 2016 roku wstrzyknęli złośliwy kod.

To tzw. technika wodopoju. Celem nie było samo KNF, ale ściśle wyselekcjonowane osoby, które odwiedzają konkretne obszary strony internetowej tej instytucji. Dzięki temu atakujący nie musi docierać do danej, wąskiej, wyspecjalizowanej grupy ofiar, która go interesuje, a po prostu czeka, aż te ofiary same z siebie odwiedzą coś, co jest dla danej grupy istotne (tu: strona KNF).

Jeśli ktoś wchodził na podstronę KNF, wstrzyknięty przez atakujących kod sprawdzał IP gościa i gdy znajdował się on w “puli klas adresowych celów do ataku” (listę tych podsieci publikujemy na końcu artykułu), następowało przekierowanie ofiary na stronę, która próbowała atakować przeglądarkę internauty. Atakujący korzystali z exploitów na wtyczki (Silverlight i Flash) — dlatego tak ważne jest aby wyłączyć niewykorzystywane wtyczki w przeglądarce.

Choć złośliwe oprogramowanie było unikatowe, stworzone i skonfigurowane pod tą konkretną kampanię, to atakujący nie wykorzystywali do infekcji 0day’ów (a przynajmniej póki co nie odnaleziono żadnego śladu nieznanych podatności). Po zainfekowaniu, trojan wstrzykiwał się w procesy systemowe i poprzez DDNS kontaktował z różnymi adresami IP (różnymi dla różnych ofiar — częściową listę znajdziecie na końcu artykułu). Z tych IP mógł pobierać dodatkowe instrukcje “co robić” i na te IP wyprowadzał wykradzione i uprzednio zaszyfrowane dane.

Do momentu publikacji nie udało nam się pozyskać informacji potwierdzającej, że którykolwiek z banków, który wykrył trojana w swojej sieci był 100% pewien, że zdropował go KNF. Tak jak pisaliśmy, źródeł ataku może być wiele, a sprawa KNF nie musi być wprost połączona z atakami na polskie banki — choć takie dowody podobno miały się pojawić. My nie byliśmy w stanie ich niezależnie potwierdzić.

KNF od dawna miała sygnał, że atakuje internautów

KNF, jak wynika z naszych informacji, o tym że ich serwis infekuje internautów, była informowana wcześniej (jeszcze w poprzednim roku). Niestety, pomimo chęci reakcji przez pracowników KNF, nie byli oni w stanie zidentyfikować miejsca infekcji. Przekazywane im informacje nie były bowiem precyzyjne. Osoby dysponujące tymi samymi informacjami co przekazane KNF też nie były w stanie na stronach serwisu KNF znaleźć miejsca infekcji, więc ciężko mieć do KNF żal czy oskarżać o całkowity brak reakcji. Złośliwy kod namierzono dopiero, jak afera “ataku na polskie banki” rozkręciła się mocniej w poprzednim tygodniu. Tak wyglądała strona KNF 2 lutego:

Później serwis wyłączono ze względu na zabezpieczanie materiału dowodowego:

3 lutego, na nasze pytania w sprawie ewentualnego ataku KNF odpowiedziała następująco:

w Urzędzie Komisji Nadzoru Finansowego zidentyfikowana została próba ingerencji z zewnątrz w system informatyczny obsługujący stronę internetową www.knf.gov.pl. Wewnętrzne systemy raportowania przez podmioty nadzorowane funkcjonują niezależnie od systemu informatycznego obsługującego stronę internetową i pozostają bezpieczne. Prace Urzędu przebiegają w sposób niezakłócony. W sprawie tej zostało złożone zawiadomienie do właściwych organów ścigania, z którymi Urząd ściśle współpracuje. Strona internetowa www.knf.gov.plzostała wyłączona przez administratorów z UKNF w celu zabezpieczenia materiału dowodowego. Urząd pozostaje w bieżącym kontakcie z przedstawicielami nadzorowanych sektorów, w tym bankowego, których działalność nie jest w żadnym stopniu zagrożona.

Choć KNF-owi nie można zarzucić zignorowania informacji o ataku (chcieli znaleźć źródło infekcji o którym byli informowani, ale nie dali rady) to zdecydowanie pstryczek w nos należy się za pierwsze zdanie oświadczenia. KNF pisze o “próbie ingerencji z zewnątrz“, sugerując, że do niczego nie doszło. Widać, że bardzo doszło i KNF doskonale o tym wie.

KNF “atakował” nie tylko polskie banki…

Wedle źródeł związanych z analizą incydentu na stronach KNF, wiemy że od grudnia znajdujący się na tej stronie jeden z wariantów złośliwego kodu nie atakował polskich hostów, a jedynie cele z zagranicy. Polskich banków nie było w puli ofiar. Możliwe, że “już nie było” bo atakujący, wiedząc iż skutecznie zaatakowali daną instytucję, zdejmowali jej adresy IP z puli hostów przeznaczonych do zainfekowania.

Co ciekawe, złośliwe oprogramowanie łączone z atakami na polskie banki znaleziono także w tych bankach, które nie były w puli do ataku. A więc atak na polskie banki mógł także pochodzić z innego niż KNF źródła. A żeby było jeszcze ciekawiej, bardzo podobną technikę ataku zastosowano na meksykańskim odpowiedniku KNF. Tam także nastąpiło włamanie na stronę regulatora i infekcja wybranych celów tymi samymi exploitami.

Kto stoi za atakiem?

Tego nie wiadomo. Wykorzystane oprogramowanie jest jednak bardzo podobne do tego, które wykorzystano w ataku na system SWIFT w 2016, w wyniku którego zniknęło 81 milionów dolarów. To wiemy od osób, które widziały próbki z obu ataków. Niezależnie, taką samą wersję sugeruje jedna z firm antywirusowych, która wedle naszych informacji miała powiadomić jeden z polskich banków, że znalezione u niego złośliwe oprogramowanie jest powiązane z grupą osób odpowiedzialnych za ataki na SWIFT, której to grupie firma antywirusowa bacznie się przygląda.

Niektórzy przywołują tu przypadek banku w Bangladeszu (choć ta sama grupa była odpowiedzialna także za ataki na inne banki). Warto jednak poczynić w tym miejscu pewną dygresję. Pewne zbieżności co do sposobu działania złośliwego oprogramowania wcale nie oznaczają, że za atakiem stoi ta sama grupa. Kod złośliwego oprogramowania lub pewnych modułów często jest tworzony niezależnie i sprzedawany do kilku niezależnych odbiorców. Podobnie jest z adresami IP wykorzystywanymi do zarządzania lub infiltracji danych. Dlatego też na podstawie tego, że większość z nich znajduje się w przypadku tego ataku w Azji, nie odważymy się wykonać “atrybucji” ataku. Jedno jest pewne — w przypadku ataków na SWIFT jasne były cele: chodziło o pieniądze.

Kostka atrybucji ataku.

Kostka atrybucji ataku.

W przypadku ataków na polskie banki, wedle zdobytych przez nas danych, żadne środki finansowe nie zostały wyprowadzone. I znów, nie oznacza to, że to nie było celem przestępców. Może po prostu banki zareagowały wcześniej, niż przestępcy przystąpili do akcji? Po infekcji organizacji trzeba “rozejrzeć” się po sieci i zdobyć dostępy do serwerów. To jest proces ryzykowny (przestępcy zwiększają szanse na wykrycie ataku przez bankowe systemy monitoringu), długotrwały, ale konieczny. Bez eskalacji ataku, stosowane w większości banków w większości przypadków obostrzenia, w bardzo niewielu przypadkach pozwalają na bezpośrednie dokonanie jakiejkolwiek malwersacji finansowej z poziomu zwyczajnej stacji roboczej “byle pracownika”. Przestępcy musza zidentyfikować i zrozumieć procesy transferów pieniędzy oraz akceptowania płatności, a także zrozumieć kto bierze w nim udział i przejąć uprawnienia tych osób.

To dobry moment, aby zastanowić się czy rzeczywiście celem atakujących była gotówka. Ze względu na duży transfer danych wychodzących z jednego z banków, pojawiła się sugestia, że celem ataku nie były pieniądze a wyprowadzenie informacji. Zastanówmy się jednak jakich i czy bank jest najlepszym miejscam na ich pozyskanie. Banki dysponują 2 typami naszych danych: danymi osobowymi i finansowymi.

Bazując na powyższym, wydaje się więc, że za atakiem nie stoi żaden obcy wywiad, którego celem jest zdobywanie informacji o Polakach, a grupa (nie wiadomo z kogo się składająca) szukająca przede wszystkim zysku finansowego, czerpanego bezpośrednio z systemów bankowych (nie przez ataki na klientów bankowości). Atak na system SWIFT pokazał, że da się atakować banki i z powodzeniem kraść z nich duże kwoty w powtarzalny sposób. Problem w tym, że w przypadku ataku na polskie banki, zebrany materiał dowodowy na razie nie potwierdza, żeby taki był cel atakujących. Być może (na szczęście!) przestępcy nie zdążyli zorientować się jak dokonać defraudacji zanim zostali wykryci i odcięci przez reakcje bankowych bezpieczników.

Generalnie atakowanie banków to nie jest najlepszy pomysł — w tym sektorze w Polsce pracują najlepsi specjaliści — którzy jak widać, są w stanie wykrywać i całkiem sprawnie reagować na ataki.

Tu pozwolimy sobie na chwilę refleksji. Gdyby nam ktoś postawił za cel szybko obrobić “polskie instytucje finansowe”, uderzylibyśmy w bankomaty (por. Tajwan zablokował swoje bankomaty w wyniku olbrzymiej kradzieży. Jest wiele bankomatów w różnych miejscach (daje to rozproszenie ataku i jego zrównoleglenie) — w tej samej chwili można z kilkuset bankomatów wyciągnąć po kilkanaście tysięcy i rozpłynąć się we mgle. Sposobów na wyprowadzenie gotówki jest wiele. Od modyfikacji sald (po stronie banków), po rekonfiguracje mechanizmów związanych z oprogramowaniem w samym bankomacie. Nie raz przestępcy wykorzystywali ten drugi sposób. Zresztą na niebezpieczniku dowiedliśmy, że nie wszystkie wprowadzane przez operatorów bankomatów rozwiązania do “szybkiego transferu gotówki” są bezpiecznie zaimplementowane (por. Zastanów się 2 razy zanim skorzystasz z bankomatu Euronetu do wykonania przelewu). A jak dodamy do tego fakt, iż operator może zdalnie tak przekonfigurować bankomat, żeby ułatwić osobie stojącej przy nim defraudacje środków, to sieć bankomatowa naprawdę staje się atrakcyjnym celem. I tu refleksję kończymy, bo dowodów na taki sposób myślenia przestępców w ataku na polskie banki nie ma.

Kształcące doświadczenie dla branży

Wszystko wskazuje na to, że mamy do czynienia z przerwanym atakiem, z bardzo ograniczonymi negatywnymi skutkami. Co ciekawe, wedle operatorów łącz, ruch z Polski do adresów IP, z których korzystało złośliwe oprogramowanie wykorzystane do ataku i ruch ten jest bardzo minimalny. Na razie pewne jest, że tylko z jednego, małego banku w Polsce wyprowadzono jakieś dane oraz, że celem przestępców nie byli tylko i wyłącznie Polacy, ani nawet tylko organizacje finansowe (choć instytucji z innego sektora jest niewiele). Z racji właśnie tej mnogości celów zdefiniowanych na liście “klas adresowych do ataku” i faktu, że są to głównie instytucje finansowe, za atakiem raczej nie stoją służby innych krajów (atak nie pełni roli wywiadowczej, brakuje mu też charakterystycznych dla tego typu działań ograniczeń i technik).

Trochę smutne jest to, że atak był po części możliwy dzięki temu, że paradoksalnie, rekomendacje i restrykcje mające na celu podniesienie bezpieczeństwa systemów bankowych, jakie na banki nakłada KNF, nie dotyczą jej samej. Bo dziura w JBOSS, to coś, co nie powinno się zdarzyć — każdy wie, że oprogramowanie należy aktualizować. Niepokojące jest także to, że KNF było nośnikiem infekcji od 6 października, do 2 lutego, czyli przez 4 miesiące nie zauważyło, że ma zmodyfikowany plik na webserwerze i przekierowuje swoich gości na złośliwe strony internetowe, choć go szukało.

Pracując nad tym artykułem, od wielu osób słyszeliśmy także narzekania, że wymiana informacji między instytucjami kuleje. Niektórzy chcieli się czegoś dowiedzieć, ale odmawiano im informacji. Inni mieli informacje, ale nie chcieli się wszystkimi dzielić. Być może właśnie dlatego część osób ma różne wyobrażenia na temat tego incydentu lub łączy z nim inne incydenty/infekcje, które nie są powiązane, bo brakuje im wszystkich danych do rzetelnej oceny sytuacji. Ten incydent to dla sektora bankowego (i nie tylko) całkiem dobre ćwiczenie jak międzysektorowo rozwiązywać problemy i jak poprawić komunikację.

Jak sprawdzić, czy jestem celem ataku?

Analizy złośliwych próbek wciąż trwają. Ale wynikami póki co dzieli się tylko wąskie grono bezpieczników w bankach. Ubezpieczyciele, którzy także są w grupie ryzyka skarżyli nam się na embargo informacyjne. Powoduje to dziwną sytuację, w której niektóre z organizacji podejrzewają, że mogły być celem ataku, ale nie wiedzą, czy padły jego ofiarą, czy nie. Bo nie mają informacji, czego szukać w swoich logach. Dla tych osób publikujemy informacje o sposobie działania próbek związanych z atakami na polskie banki.

Infekcja po przejściu na adres, który zawierał odwołanie do biblioteki:
knf.gov.pl/DefaultDesign/Layouts/KNF2013/resources/accordian-src.js

Jeśli host łączył się ze stroną KNF m.in. z tych sieci:
138.220.0.0/16
142.205.240.0/23
147.114.44.0/23
148.244.42.0/24
148.244.50.0/24
148.244.51.0/24
155.136.0.0/16
155.136.80.0/24
160.83.72.0/24
160.83.73.0/24
160.83.96.0/24
160.83.97.0/24
164.114.0.0/16
167.202.201.0/24
167.222.220.0/24
168.165.202.0/24
170.135.0.0/16
170.169.127.0/24
170.61.236.0/24
170.61.237.0/24
170.66.0.0/16
170.70.0.0/16
170.70.18.0/24
170.70.21.0/24
170.70.3.0/24
170.70.36.0/24
170.70.38.0/24
170.70.41.0/24
170.70.6.0/24
170.70.73.0/24
170.70.9.0/24
170.70.92.0/24
171.159.192.0/20
171.159.48.0/23
171.161.128.0/18
171.192.0.0/20
175.184.246.0/24
177.66.196.0/24
185.16.140.0/22
185.25.108.0/24
185.49.30.0/24
190.196.0.0/19
192.250.56.0/23
192.250.98.0/23
193.0.242.0/24
193.104.239.0/24
193.105.248.0/24
193.108.72.0/23
193.16.107.0/24
193.200.233.0/24
193.239.56.0/22
193.36.183.0/24
193.42.211.0/24
193.8.57.0/24
193.84.159.0/24
194.146.120.0/24
194.255.0.0/16
194.30.179.0/24
194.79.40.0/22
195.128.0.0/22
195.142.247.0/24
195.167.159.0/24
195.238.184.0/22
195.78.252.0/24
195.85.227.0/24
195.85.249.0/24
198.74.176.0/24
199.197.16.0/20
199.27.240.0/21
199.79.165.0/24
200.1.175.0/24
200.10.0.0/24
200.10.182.0/24
200.11.31.0/24
200.124.125.0/24
200.13.124.0/24
200.14.138.0/24
200.155.87.0/24
200.16.40.0/24
200.16.54.0/24
200.196.144.0/20
200.218.213.0/24
200.23.76.0/24
200.27.96.0/19
200.3.1.0/24
200.3.147.0/24
200.3.242.0/24
200.35.133.0/24
200.35.142.0/23
200.37.0.0/19
200.4.192.0/19
200.55.152.0/21
200.9.111.0/24
201.131.120.0/24
201.221.124.0/24
201.221.126.0/24
202.127.170.0/24
202.43.140.0/24
202.6.104.0/23
203.170.25.0/24
203.171.210.0/23
203.201.58.0/24
203.210.68.0/24
203.235.72.0/24
203.27.235.0/24
205.210.223.0/24
207.248.104.0/24
208.5.220.0/24
211.32.31.0/24
212.149.32.0/19
212.39.192.0/19
212.40.192.0/20
212.91.12.0/24
212.91.13.0/24
212.91.16.0/20
212.91.22.0/23
212.91.26.0/24
212.91.4.0/22
212.93.55.0/24
213.189.32.0/19
213.189.40.0/24
213.55.64.0/18
216.119.215.0/24
216.83.80.0/24
217.149.240.0/20
217.169.192.0/22
217.17.32.0/20
46.229.144.0/20
46.229.158.0/24
46.229.159.0/24
50.203.36.0/24
63.78.207.0/24
74.118.216.0/24
77.79.192.0/18
77.79.230.0/23
79.110.192.0/20
79.110.193.0/24
79.110.206.0/23
80.48.0.0/14
81.90.96.0/20
85.232.224.0/19
85.232.225.0/24
89.107.183.0/24
91.208.26.0/24
91.214.4.0/23
91.226.117.0/24
91.228.112.0/24
91.237.138.0/23
91.238.78.0/24
94.254.128.0/20

To wstrzykiwany przez ww. bibliotekę kod z domen:
sap.misapor.ch
sap.misapor.ch/vishop/view.jsp?pagenum=1


www.eye-watch.in
www.eye-watch.in/design/fancybox/Pnf.action

Dropowane w systemie pliki (nie wiadomo, czy z ataku przez stronę KNF lub nie tylko z tego miejsca!)

srservice.chm MD5: 9216b29114fb6713ef228370cbfe4045
Zaszyfrowany plik DLL, wstrzyknięcie w lsass.exe

srservice.dll MD5: e29fe3c181ac9ddbb242688b151f3310
Główny plik wykonywalny zarejestrowany w systemie jako usługa. Deszyfrujący i wstrzykujący w proces lsass.exe odszyfrowany plik CHM

srservice.hlp MD5: 8e32fccd70cec634d13795bcb1da85ff
Zaszyfrowany plik konfiguracyjny złośliwego oprogramowania

fdsvc.dll 9cc6854bc5e217104734043c89dc4ff8
Zaszyfrowany plik DLL wstrzykiwany we wskazany proces, zawierający kod realizujący szkodliwe działania

fdsvc.exe 9914075cc687bdc352ee136ac6579707
Plik wykonywalny deszyfrujący, przekazujący parametry wykonania i wstrzykujący odszyfrowany plik DLL w podany jako argument identyfikator procesu działającego w systemie

Pliki znajdowały się w następujących ścieżkach:
C:\Windows\System32;C:\Windows\SysWow64;C:\Windows\;C:\Windows\Help
C:\\Documents and Settings\\{username}\\Dane aplikacji\\IMEKLMG.exe
C:\\Users\\{username}\\AppData\\Roaming\\IMEKLMG.exe

Komunikacja badanych próbek z następującymi adresami IP:
1.215.228.230
107.190.190.21
116.168.107.32
120.107.163.79
125.214.195.17
129.221.254.13
131.11.224.116
140.112.14.16
169.45.142.150
17.61.46.70
18.200.16.237
182.45.75.93
196.29.166.218
203.66.57.237
203.67.31.17
204.136.221.47
206.94.195.86
21.190.190.107
218.224.125.66
32.107.168.116
36.61.131.78
47.221.136.204
59.120.19.101
59.173.0.74
59.43.86.123
70.46.61.17
82.144.131.5
86.195.94.206
93.75.45.182

Malware skanuje sieć lokalną po infekcji klienta. Jeśli przejmie kontrolę na innymi stacjami, to wszystkie komunikują się z internetem przez jeden punkt (wewnętrzne proxy). Komunikacja następuje na portach 8443, 9443, 3389 (tu ruch HTTP) ale malware ma możliwość komunikacji na poziomie dowolnie zdefiniowanego w pliku konfiguracyjnym portu. Malware odpytuje o następujące adresy:

hxxp://59.120.19.101/*
hxxp://59.120.19.101:8080/*
hxxp://vps306999.ovh.net/index.html
hxxp://zc.qq.com/cgi-bin/common/attr?id=260714&r=*
hxxp://testp4.pospr.waw.pl/testproxy.php
hxxp://httpheader.net/
hxxp://www.bing.com
hxxp://www.baidu.com/favicon.ico

W plikach konfiguracyjnych złośliwego oprogramowania zapisane były następujące domeny:

tradeboard.mefound.com:443
movis-es.ignorelist.com:443

Miłego grepowania!

Dlaczego o tej sprawie nie napisaliśmy wcześniej?

Przygotowanie artykułu prasowego w tak istotnym i skomplikowanym temacie, dotyczącym różnych sektorów i kilkudziesięciu organizacji, to nie lada wyzwanie. Większość informacji jakie w zeszłym tygodniu trafiły w nasze ręce nie było podpieranych żadnymi solidnymi dowodami. Źródła (do których — podkreślmy — mamy pełne zaufanie, gdyż wszystkie dostarczane nam do tej pory informacje zawsze się sprawdzały) nie dysponowały jeszcze lub nie mogły przekazać nam żadnych dokumentów dotyczących ataku, gdyż dostęp do nich miało bardzo wąskie grono osób i zbyt łatwo można by wskazać kto informacje ujawnił. My z kolei nie chcieliśmy naszego artykułu opierać wyłącznie na przekazach słownych osób z różnych instytucji, z których żadna nie dysponowała pełnym obrazem tego “co się stało”. Dlatego w minionych dniach odbyliśmy szereg rozmów i spotkań z przedstawicielami różnych organizacji i firm zaangażowanych w obsługę niniejszego incydentu, korelowaliśmy wypowiedzi i staraliśmy się potwierdzać je w co najmniej 2 niezależnych miejscach. To co mogliśmy ujawnić, ujawniliśmy powyżej. Czekamy jeszcze na kilka oficjalnych odpowiedzi — kiedy spłyną, zaktualizujemy niniejszy artykuł.

Jeśli jesteście związani z tą sprawą, chcielibyście o coś uzupełnić nasz artykuł lub posiadacie dodatkowe informacje, zapraszamy do kontaktu. Z chęcią dodamy do niniejszego tekstu nowe dane. Każdemu rozmówcy gwarantujemy anonimowość.

PS. Sprawa została zgłoszona do Prokuratury Okręgowej w Warszawie. Jej rzecznik przekazał nam następujące oświadczenie:

Mamy wiedzę o tej sytuacji, kontrolujemy ją wspólnie z ABW. Na tę chwilę materiały z ABW jeszcze do nas nie trafiły

Aktualizacja: 2.04.2017
Wiadomości TVP opublikowały materiał na temat KNF, w kontekście rzekomych działań Korei Północnej. W tym artykule informujemy, co w materiale jest prawdą, a co się z nią mija.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

60 komentarzy

Dodaj komentarz
  1. Czekałem na publikację u Was, bo w niektórych innych miejscach opis był na poziomie tak żenującym, że szkoda było strzępić palce.

    1. Reakcja KNF była i jest słaba. Komunikat na stronie może byłby OK 10 lat temu, jak jeszcze ludzi można było spuszczać na bambus. A ja na stronę KNF nie mogę wejść z IP z USA – więc chyba przyjęli metodę obrony na Koreę Północną. Chyba, że to ktoś z puli mojej firmy im się włamał – wtedy reakcja uzasadniona :-D

    2. Ciekawe, czy banki zadadzą sobie trud zweryfikowania jakie dane mogły paść łupem przestępców i zechcą poinformować zainteresowanych. Obstawiam, że nie.

    3.” Nie ma żadnych dowodów na to, że jakiekolwiek środki finansowe klientów jakiegokolwiek banku są czy też były zagrożone” – to powtarzające się wszędzie zdanie działa na mnie jak płachta na byka. Otóż jeśli hakerzy doprowadziliby do zniknięcia pieniędzy z mojego konta w banku, a ja bym nie autoryzował takowej transakcji, to byłaby to i tak strata banku, a nie moja. Stawianie tego tak sugeruje coś w rodzaju “drogi głupiutki Janku Kowalski. Był atak, ale na szczęście sobie z nim tak świetnie poradziliśmy, że nikt nie ukradł Twoich pieniędzy”. I call bullshit.

    4. Ukradziono dane. I teraz – może dane wewnętrzne banków (są osoby tym zainteresowane), może dane klientów (tu również są osoby tym zainteresowane), może dane klientów firmowych, a może wreszcie dane konkretnych klientów firmowych w postaci np spółek skarbu państwa, wchodzących niedługo na giełdę, itd. Każdy scenariusz wskazuje na inną motywację atakujących i innego mocodawcę.

    5. Zakładając, że ukradziono moje dane – dlaczego mam być spokojny? Czy wg Was nic mi nie grozi? Mało to banki przechowują informacji na nasz temat? Niektóre nawet skany dowodów. Przecież to w zupełności wystarczy, żeby w innym banku wziąć kredyt. Albo, żeby z powodzeniem w przyszłości zresetować dostęp do konta, itd. I np za rok – kto będzie miał problem? Ja, czy bank? Bo jakby teraz wyparowała z konta kasa, to problem miałby bank (ok, ja też, ale niewielki). Ale jak za pół roku okaże się, że ktoś zawnioskował o wysłanie nowego tokena sprzętowego na zmieniony adres, bo zmienił adres korespondencyjny po przejściu telefonicznej procedury weryfikacyjnej, to ja będę musiał udawadniać, że nie jestem wielbłądem.

    6. Od tak dawna dyskutują o tym SWOZ’ie (sam w tych dyskusjach kiedyś uczestniczyłem), a nadal jedyna skuteczna wymiana danych to zakulisowe przesyłanie sobie mailików pomiędzy znającymi się z piwa kolegami? Nie mam nic przeciwko kolegom od piwa, ale na litość boską – to nie tak powinno wyglądać i od dawna wszyscy wydawali się być co do tego zgodni.

    7. Wasza wiara w super profesjonalizm ludzi od security w bankach i duże wyczulenie banków na incydenty bezpieczeństwa jest albo wynikiem patrzenia na świat przez różowe okulary albo trafiliście na jakieś wyjątkowe pod tym względem okazy. Znakomita większość rynku jest jeszcze na tym polu daleko w lesie.

    • co do punktu siódmego, to nie wiem czy to nie jest też trochę działanie propagandowe. żeby wybić z głowy złe pomysły tym, których kapelusze są raczej ciemnoszare niż jasnoszare

    • Ad.7. To był zapewne warunek (jak to wkurzające mnie również zdanie kilka razy pojawiające się w treści) publikacji artykułu, bo że przeszedł niejedną cenzurę to więcej, niż pewne.

    • Wystarczy sparaliżować infrastrukturę bankową przez 2 – 3 dni , a klienci bez gotówki w kieszeni rzucą się do gardeł :)
      Nie będę nawet zgadywał co się stanie jak całkowicie zrezygnuje się z gotówki :),albo informacje o rachunku klienta wyparują w kosmos^^
      Tak tak backup -wiemy i znamy to :)

    • nie doceniasz banków

      po pierwsze pomyśl kogo stać na najlepszych specjalistów …

      po drugie dla banku najważniejszy jest wizerunek, jakakolwiek skaza to olbrzymie straty finansowe więc banki bardzo przejmują się bezpieczeństwem

      wyprowadzenie kasy z wewnątrz banku (nie poprzez konto klienta) to bardzo czasochłonna operacja, paręnaście lat temu mogła to zrobić pojedyncza osoba – zdarzało się, teraz trudno mi to sobie wyobrazić znając wręcz paranoidalny poziom zabezpieczeń jaki obowiązuje

      ale wiadomo, wszystkiego nie przewidzisz więc nawet jeżeli ktoś znajdzie lukę (innowacyjność banku kontra innowacyjność przestępców) to bank jako instytucja nastawiona na zysk, nie lubi tracić kasy więc minimalizuje straty ucząc się na błędach, płacą oczywiście klienci ale nigdy nie bezpośrednio ;)

    • @swiety

      1. banki stać na ZATRUDNIENIE najlepszych specjalistów, ale to nie znaczy, że stać ich na WYKONYWANIE ich zaleceń. Bo wygoda klienta, bo wygoda pracowników (a raczej: brak kompetencji do prazy w poprawnie zabezpieczonym systemie), bo czas wprowadzenia produktu na rynek i wiele innych “bo”.

      2. owszem, dla banku najważniejszy jest wizerunek – i realizuje się to jakimiś “tajemniczymi mechanizmami” wyciszania afer. Jakoś w mainstreamowych mediach nie było afery z Plusbankiem.

    • Pracowałem w banku, uczestniczyłem w pracach w ramach ZBP, mam znajomych w różnych bankach. Nie przeceniałbym ludzi od security w tej branży. A może inaczej – nie przeceniałbym możliwości tych ludzi na wpływanie na działania ich pracodawców.

  2. Ciekawe, że nikt nie zakłada, że była to robota z wewnątrz.
    Np. w celu wprowadzenia paniki i strachu, a w konsekwencji pozyskania zwolenników zaostrzenia kolejnych ustaw.
    W końcu mieliśmy już super szybkowar :-)

    • Wydaje mi się ze insaid job jest najbliżej prawdy niestety.

    • @Inside Job, to jest możliwe. Tak w Polsce, jak i w reszcie demokratycznego świata dalsze ograniczanie swobody w cyberprzestrzeni można uzasadnić realnym strachem o bezpieczeństwo środków finansowych i wrażliwych danych.

  3. Po co dane klientów? Może na sprzedaż, aby później ludzi pojedynczo z kasy wyczyścić?

    http://www.money.pl/gospodarka/wiadomosci/artykul/lowca-frajerow-kontrakty-cfd-forex-inwestycje,134,0,2161542.html

  4. Zaawansowane malware było 20 lat temu, w dzisiejszych czasach za zaawansowane można uznać chyba już tylko dobre rootkity to nie było bardzo zaawansowane, natomiast wykorzystywanie luk w oprogramowaniu w którym ilość mitygacji trudno zapamiętać i korzystać z techniki wodopoju to już chyba takie proste nie jest, nie wiem jak wyglądało to Bangladeszu ale wiem że robią tak sąsiedzi ze wschodu a biorąc pod uwagę że w Bangladeszu chodziło o pieniądze a tu rzekomo pieniądze nie zniknęły pomimo dość długiego czasu incydentu to może banki poradziły sobie świetnie :)

  5. Aby dopełnić edukacji należy ludzi informować jaki system operacyjny jest wrażliwy na takie ataki. Na każdym kroku należy powtarzać, że może być bezpieczniej!

    • Każdy?

    • Zerknij na zdjecia, a bedziesz odrazu wIedzial, na jakim systemie stal KNF (i zapewne jedyny sluszny takze w bankach) .W tekscie takze padlo pare informacji co do nazw procesow, sugerujace wyraznie sytem…
      Pozdrawiam.

    • @Marek
      Wiem w jakim systemie jest katalog C:\Windows opisywany w artykule :). Ale nie wiem czy każdy czytelnik wie, że rozwiązanie 90% wszystkich spektakularnych wtop opisywanych przez niebezpiecznik jest do uniknięcia w baaaardzo łatwy sposób. Poprzez zmianę OSa.
      Trzeba piętnować systemy które wylatują w kosmos po zwykłym kliknięciu “nie tego” załącznika w mailu, wejściu na “nie tą” stronę www lub wepchnięcia “nie tego” USB co trzeba…

    • @Czapa – malware na linuxa nie ma? Podatności w *nixach wszelakiej maści nie istnieją? Takie były systemy, to takie zaatakowali. Byłyby inne – atakowali by inne. Do niedawna fanboy’e apple’a też mówili, że na maci nie ma wirusów.

    • Oj Czapa Czapa kogo się atakuje użytkowników systemu którego jest 90% na rynku czy reszty? Jak się sytuacja odwróci że Linuxów będzie 90% to zapewniam Cię że nagle okaże się że wirusów i dziur jest cała rzesza… (patrz Android)

    • W tym kraju nad Wisłą, to jest JEDYNY i słuszny system. Edukacja o podatnościach różnych systemów jest tak samo efektywna jak przymusowa dla każdego ucznia, nauka programowania językami wysokiego poziomu już w klasach pierwszych szkoły podstawowej. Użytkownik nie chce wiedzieć nic o zagrożeniach! Użytkownik chce mieć bezpieczny dostęp do wszystkiego co jest w internecie! Przecież każda nowa wersja systemu jest reklamowana “wyjątkową odpornością”! A skoro tak produkt sprzedają, to lokalni od komputerów się nie znają!

    • W dodatku stawiając serwer z Windowsem trzeba zapłacić zagranicznej korporacji (tutaj pieniądze pochodzą z naszych podatków). Poza tym to jest oprogramowanie klozet-source, więc nie mamy pewności, czy nie zawiera backdoorów umożliwiających Microsoftowi uzyskanie zdalnej kontroli, np. kradzież danych.

  6. Dlatego tak waznym jest aby stosowac antywirusy dla stron internetowych. Ciekawe opracowanie nbzp ;-)

    • zapewne stosowali, ale jeżeli jest to napisanego coś specjalnie na daną okazje, może obejść sporą listę antywirusów które w pierwszej kolejności porównują hash pliku, albo szukają w plikach jakichś danych struktur. Antywirusy w znakomitej większości chronią przed znanymi zagrożeniami.

  7. Czy sondy nie zauwazyly niczego? KNF na pewno mial (powinien miec) jako urzad panstwowy. Co na to ABW? Ja potraktowalbym to nie jako ‘bursztyn’ ale ewidentnie czerwony poziom alarmu. Moze to oznaczac ze gdziec moga byc/byly poplantowane podobne wynalazki – juz zupelnie oderwane od kwestii pieniedzy (no chyba ze mowimy o stratach po wylaczeniu infrastruktury panstwa). Nie zauwazylem aby bylo spotkanie w tej sprawie (a powinienem wiedziec). Czy sprawa jest az tak tajne/poufne ze uwazamy/mowimy ze problem z glowy, problemu nie ma? Czy o problemie zaczniemy pisac jak zgasnie swiatlo?

    • Amber to poziom embarga informacji z cert, a nie poziom alarmu.

  8. Dobra, fajnie, tylko ja mam jedno pytanie: KTÓRE banki zostały zaatakowane. Napisaliście że kilkanaście instytucji oberwało, ale potrzebna jest lista żeby wiedzieć czy mój bank jest na niej (i w razie czego mu podziękować wybierając taki którego na liście nie ma).

    • wybierzesz taki, który nie został zaatakowany czy taki, który o tym nie wie?

  9. Psssst… KNF wiedziała wcześniej :) potwierdzone info…

  10. Klasyka – kinole korzystając z bezmyślnych hosterów czyli OVH, Hetzner, Amazon i tych w Szwajcarii (pod latarnią podobno najciemniej), dobierają się do sieci Banku Światowego.

  11. Pytanie do redakcji, czy poprawnie skonfigurowany meta tag Content-Security-Policy uniemożliwiłby przekierowanie ofiar ze strony KNF na inną stronę? Czy to było przekierowanie czystym js czy może wstrzykiwany był jakiś iframe?

    • CSP zablokowałoby ładowanie złosliwego JavaScriptu na przeglądarkach ofiar ale biorąc pod uwagę wektor ataku (stored XSS przez dziurę w JBOSS) oraz staranne przygotowanie ataku oni byliby to w stanie obejść, np. modyfikując nagłówek CSP, usuwając go w ogóle albo ładując złośliwy kod bezpośrednio z knf.gov.pl.

  12. Jeśli naprawde ktos chcialby pogrzebac w systemach bankowych zeby przytulic kase to musialby sie skupic bardziej na systemach od ibm’a ;)

    • Z tego co kojarzę to chyba tylko 2 banki w Polsce stoją na IBM’ach.

    • @ciupaq: taaa, a kilka pozostalych bangla na takich pudelkach z systemem z/OS

    • @mulik: Mówię o głównym sysyemie i głównej bazie postawionej na iSeries IBM’a, i tu tak jak pisałem są to 2 banki. Katowice i Kraków :)

    • Po co ktokolwiek miałby grzebać w core bankingu? myślę że potencjalnie dużo łatwiej jednak na interfejsach do core lub innej otoczce… a jeszcze łatwiej, jak zwykle, socjotechniką ;)
      PS na iSeries jest jeszcze co najmniej jeden bank ze stolicy… ;)

  13. Jakiś czas temu było ta temat fałszywych maili z Play gdzie był załącznik szyfrujący dysk z żądaniem okupu w BTC. Od jakiegoś czasu tego typu szyfrowanie to kura znosząca diamentowe jajka :(. Jak zachowa się 90% użytkowników, którzy dostaną ze ‘swojego banku’ mocno spersonalizowanego maila z jakimś załącznikiem? Wystarczy, że maile będą kierowane do zamożniejszych właścicieli kont! Może włamywacze nie zrobili tego co zamierzali, może nie zdążyli, ale dane mają może i tym się zadowolą :(

  14. Wzuszające.
    A które konkretnie komputery zaatakowano w bankach? I czemu znowu pecety z windowsami?
    Oj, serwery obsługujące centralne systemy, to NIGDY nie są windowsy. Czemu? W sumie nieistotne, ale tak nie jest. A to można łatwo sprawdzić, bo systemy bankowe rzadko kiedy chodzą na windows.

    A na czym chodzą? Unixy (AIX, HP-UX, Ultrix), VMS (HP), z/OS (IBM).

    • A najzabawniejsze jest to, że terminale na biurkach spokojnie też mogą być inne niż z systemem MS Windows! Dlaczego nie są? A to już pytanie do administratorów sieci bankowych i menedżerów banków! Bo jeśli to kwestia leasingu (koszty), to czyżby potęga firmy z Redmont opiera się na dumpingu cenowym? A jeśli tak, to jak niską ma cenę ten system skoro można sprzedawać go tanio, tyle że odbiorcom komercyjnym.

    • WINTELi w bankach jest od wuja. Żeby wykraść dane nie musisz się od razu wbijać do systemu core’owego. Zresztą żeby wytransferować kasę również nie. Stacje robocze mogą być na linuxie, ale musiałbyś połowę rzeczy odpalać na wine. A wystarczy przecież stacja robocza, żeby wbić się dalej. No i nawet do core’owego systemu nie musisz wchodzić poprzez roota z poziomu OS, a raczej wygodniej byłoby to z klienta na stacji roboczej :)

      Aha – część stacji i tak musiałaby chodzić na windowsie z uwagi na wymagania programów, które są ludziom potrzebne do pracy. Także migracja całości na *nix jest zupełnie nierealną mrzonką.

      No i pozostaje zupełnie nieuzasadnione przekonanie, że na serwer z windowsem łatwiej się dostać niż na serwer z linuxem, czy unixem. Jedyny argument, który przychodzi do głowy, który mógłby to potwierdzać, to ludzie pracujący na uprzywilejowanych kontach domenowych na swoich stacjach – faktycznie, jeśli takiego gościa złapiesz na phishing, to dalsza droga w organizacji jest już ułatwiona. Ale takie rzeczy to nie w bankach (kiedyś może tak, ale teraz?).

    • Utozsamianie bezpieczenstwa z konkretna platforma jest naduzyciem. Zgodnie z ewaluacja CC (common criteria) wspolczesne systemy daja podobny poziom gwarancji bezpieczenstwa (EAL4+). Wszystko zalezy wiec od hardeningu i innych zaimplementowanych kontrolsow.

    • @kubek – nie przetłumaczysz. Winda to zło i badziew. Z niektórymi nie ma dyskusji.

  15. Jak przeczytałem “…podobne w działaniu złośliwe oprogramowanie, znajduje się także w ich sieciach…” od razu pomyślałem o Windows 10

  16. Najciekawsze jest to że już są “administratorzy” znający wyłącznie win-serwer. W państwówce często. Już takiego spotkałem. Przyszedł, popatrzył i zapytał: “czemu tu nie ma windowsa? Przecież można w końcu zmienić system na profesjonalny”…

    • Ale co w tym dziwnego? Tzn jest oczywistym, że osoba, która zajmuje się IT powinna choć trochę systemy typu *nix znać. Ale firm, które potrzebują administratorów Wintel jest mnóstwo. Tak samo jak można zajmować się jedynie bazami Oracle i nie znać MySQL, tak samo można znać się na win server, a nie znać na np. BSD. Oczywiście często znajdzie się osoby, które linuxa nie znają w ogóle, za to windowsa słabo :) Wtedy faktycznie pasuje “administrator” :)

    • tacy admini wintelowi sa bardzo potrzebni!

      dzieki temu ja moge spokojnie argumentowac ze znam tylko systemy unix/linux i nie musze znac w ogole windowsow, tak jak gosc od windowsow nie musi znac unixow.

    • No i co z tego, że słabo znam “nixa”. Pracuje na windzie i tu się specjalizuję. Cała firma stoi na rozwiązaniach microsoftu to w tych obszarach staram się pogłębić wiedzę. Jak zajdzie taka potrzeba w życiu, że będzie trzeba się rozwinąć w innych technologiach, to zrobię to. Teraz z braku takiej potrzeby to hobbystycznie mogę to traktować.

  17. — To ciekawy atak, dla odmiany z moich źródeł wynika, że ataku dokonano w celu analizy nieznanych elementów systemu wewnątrz — jako swoisty zwiad.
    .
    — Co sugeruje, że celem były informacje o systemach zabezpieczeń, a nie informacje klientów czy “atak na pieniądze”.

  18. No ładnie….

  19. Jakby kogoś interesowało – podane źródłowe adresy IP należą głównie do zagranicznych banków i organizacji finansowych (czasem państwowych)

    • przecież napisali, że lista prawdopodobnie uległa skróceniu o banki, które są już zainfekowane, znaczy polskie banki nie stanowiły dla nich problemu

    • — thx aqz — przesyłam karmę

  20. Dwa fakty, które przeczą waszej tezie, jakoby w instytucjach finansowych pracowała (wystarczająca liczba) specjalistów od bezpieczeństwa:
    1. KNF nie był w stanie wykryć ingerencji we własną stronę – trywialna weryfikacja sum kontrolnych (przecież nie posadzono tam rootkita) oraz audit-logów baz danych wystarczyłaby, aby wykryć tego typu atak zaraz po zgłoszeniu,
    2. w atakach na stacje robocze nie wykorzystano podatności 0day.

    O ile KNF-owi można w sumie …wybaczyć, w końcu identyczny atak można było przeprowadzić przez pudelka czy onet (trochę sobie kpię – jest niezerowa szansa, że stronę KNF-u banki mają na różnych whitelistach, włącznie z analizą ruchu on-line), o tyle dla banków litości mieć nie można:
    1. wykorzystanie znanych dziur == fail polityki bezpieczeństwa. Końcówka bez aktualizacji powinna być izolowana od świata zewnęrznego, po prostu.
    2. jakim cudem z jakiejkolwiek STACJI ROBOCZEJ na NIEZAUFANE lokalizacje w sieci poszedl NIEZAUWAŻONY upload szyfrowanych danych? Jeżeli banki nie rozszywają ruchu SSL/TLS, to równie dobrze każdy pracownik może wysyłać poufne dokumenty “zahasłowanym zipem”. Każdy porządny analizator ruchu powinien wykryć wysoką entropię danych WYCHODZĄCYCH. A w ogóle to powinien wykryć anomalny wolumen ruchu wychodzącego, bo jakoś tak nie sądzę, aby dane powoli skapywały i były traktowane customowym algorytmem zmniejszającym entropię.

    Krótko mówiąc: jeżeli banki nie są w stanie wychwytywać on-line anomalii ruchu (a robi się to na setki sposobów, np. obserwując trendy ruchu per ASN), to znaczy, że politykę bezpieczeństwa ma w stadium larwalnym (tj. wykrywa tylko zagrożenia wcześniej znane, a nie potencjalne nowe).

    Jeżeli natomiast taki podejrzany ruch ZOSTAŁ właśnie rozpoznany, a owi specjaliści nie byli w stanie z problemem przebić się wystarczająco wysoko do kadry dyrektorskiej (korpoproblem typu “macie mi natychmiast odblokować mojego laptopa, mam pilne fotki do wysłania na fejsbóka!”), to należałoby odpowiedzialnych za to przełożonych zweryfikować na okoliczność współpracy (bo albo świadomymi kretami, albo tylko pożytecznymi idiotami – w obu przypadkach 3 miesiące na pryczy nie zaszkodzą).

    • Licencję na prowadzenie działalności bankowej w Polsce ma jakiś pierdyliard podmiotów. Powiedzmy około 100. Niektóre zatrzymały się na etapie “mamy firewall”. A większe… niektóre też nie są na tym etapie, o który byś je mógł posądzać. Inna sprawa, że takie kompleksowe rozwiązania o których wspominasz są w niewielu miejscach.

    • Co za faux pas. Za KNF: Banków spółdzielczych jest >500. “Zwyczajnych” 36 i 14 przedstawicielstw banków z zagranicy.

  21. Do źródeł infekcji możecie też sobie dopisać aplikację SKYPE i wiadomości od znajomych typu: zobacz stronę….. W opisywanym okresie infekcje komputerów były nader częste a dziadostwo miało za zadanie nie tylko kontrolę kompa ale zarażenie następnych. Co ciekawe dostałem taką wiadomość na skype z konta osoby, które nie loguje się na konto już prawie 10 lat i nadal skype pokazuje, że na to konto nikt nie logował się. To już jest mega ciekawe – czyżby luka, pozwalająca się podszyć?

  22. Ja akurat wierzę w umiejętności specjalistów IT pracujących w bankach – wnioskuję to po ofertach pracy banków szukających specjalistów, liście wymagań oraz po pensjach.

    Co do samego mechanizmu – skoro celem miały być cele spoza naszych granic to jak to dla Was wygląda? Ktoś się włamuje do nas po to aby z naszych domen włamać się na terytorium innego państwa (a ślady będą prowadzić do nas).

  23. Jeżeli przeglądarka lub odpalane przez nią programy mogą zapisywać pliki exe, i to w dodatki w takich lokalizacjach:
    C:\Windows\System32;C:\Windows\SysWow64;C:\Windows\;C:\Windows\Help
    C:\\Documents and Settings\\{username}\\Dane aplikacji\\IMEKLMG.exe
    C:\\Users\\{username}\\AppData\\Roaming\\IMEKLMG.exe
    to system, który na to pozwala nadaje się najwyżej na konsolę do gier, a administrator tego systemu na konserwy dla psów.

    Pokażcie mi Linuxa, w którym przeglądarki mogą z konta użytkownika majstrować w folderach systemowych należących do usera ROOT.

    W Windows też są sposoby, żeby przeglądarki, ich wtyczki czy inne programy nie rozrabiały, jak np Sandboxie, tylko trzeba ruszyć głową, jak się system konfiguruje.

    Sytuacji, kiedy w KNF nie wiedzieli, co mają na stronie, nie chce mi się komentować,
    rozumiem, że w Windows Serwer nie ma mechanizmu inotify, ale ACL owszem, jest,
    i serwer WWW w ogóle nie powinien mieć prawa zapisu w w folderach na dysku, może z wyjątkiem /tmp, a i tam nie może zapisywać plików php, js czy exe.
    Jak ktoś tego nie rozumie, to nich idzie ulice zamiatać, a nie serwery internetowe konfigurować.

    To by było na tyle

  24. Ciekawe komentarze. Tylko szkoda, że nie ma ani słowa na temat analizy ruchu w sieci.
    tzn. czy ktoś sprawdził routery na okoliczność np. port mirroring i ogólnie trasy przesyłu pakietów ? Bo tak jak na wasze tzn. dobrze poinformowane źródła niebezpiecznika to
    się tak trochę i autorzy artykółu i komentatorzy kręcą w kółko i prowadzą ambitne analizy
    a najprostrze sprawy zostają bez odpowiedzi, a szkoda.

  25. […] appear to be using compromised websites to redirect visitors to a customized exploit kit, which is preconfigured to only infect visitors from approximately 150 different IP addresses. These IP addresses belong to 104 different organizations located in 31 different countries. The […]

  26. […] ma więc powodów do paniki. Zwłaszcza, że polskie banki po “ataku na KNF” 4 lata temu uporządkowały wiele kwestii, jeśli chodzi o reakcję na zagrożenia i […]

Odpowiadasz na komentarz E34

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: