22:23
1/3/2015

Wprost informuje, że na początku roku miał miejsce “poważny atak hakerski skierowany głównie na prywatną pocztę elektroniczną osób pracujących w MON i Sztabie Generalnym Wojska Polskiego”. Ponieważ artykuł Wprostu jest dość lakoniczny i sensacyjny oraz zawiera sporo nieścisłości a także brakuje w nim szczegółów technicznych ataku, poniżej prezentujemy bardziej techniczną analizę możliwych wariantów tego incydentu. Próbujemy ocenić jaki wpływ na bezpieczeństwo Polski ma przejęcie czyjejś prywatnej skrzynki pocztowej.

Co wiadomo o ataku?

Z artykułu wiadomo, że:

  • Nastąpiło włamanie do prywatnych skrzynek pracowników MON i Sztabu Generalnego.
  • “Przejętych zostało co najmniej tysiąc maili osób pracujących w wojsku”
  • “Atak prowadzony był z serwerów w Łotwie”

Dodatkowo, z oświadczenia MON wynika, że:

“Wśród zaatakowanych skrzynek pocztowych nie było takich, które należą do osób zajmujących kluczowe stanowiska w naszej armii. (…) Kontrolę prowadziła ABW. Wyszło na to, że żadne istotne informacje nie zostały wykradzione.”

Co faktycznie mogło się stać?

Jeśli mielibyśmy ferować wyniki na podstawie tak lakonicznego opisu jak powyżej, obstawialibyśmy, że opisywany przez Wprost incydent, to żaden “zaawansowany technicznie atak“, a zwykły phishing, ewentualnie prosty atak socjotechniczny z zainfekowanym załącznikiem.

Nie wiemy, kiedy atak miał miejsce (można wnioskować, że na początku 2013 roku). Nie wiemy kim konkretnie były ofiary (MON twierdzi, że nikim piastującym ważne stanowisko). Wreszcie — nie wiemy ile dokładnie skrzynek przejęto. Wprost informuje o 1000 przejętych e-maili (nie skrzynek, e-maili). To bardzo mało. Pytanie jak doliczono się tej liczby? Czy to całkowita liczba wiadomości, która była w przejętych skrzynkach — czy może jakoś uzyskano informację ile e-maili z przejętych skrzynek udało się pobrać włamywaczom?

Sami dość często wykonujemy tego typu ataki skierowane w pracowników naszych klientów i wiemy, jak łatwo jest przejąć kontrolę nad czyjąś skrzynką pocztową — do tej pory wszystkie z naszych ataków pozyskania haseł zakończyły się sukcesem; różnica dotyczyła tylko tego jak długo udawało nam się utrzymać dostęp do przejętej skrzynki.

Musimy tu przyznać, że tego typu ataki nie wymagają żadnych szczególnych umiejętności… Odpowiednią domenę może za kilkanaście złotych kupić każdy, serwer pod atak kosztuje kilka dolarów, a odpowiednie oprogramowanie pozwalające na przeprowadzenie ataku jest dostępne za darmo.

To prawda, że w firmowych skrzynkach pocztowych często znajdujemy bardzo wartościowe dane; raporty finansowe, dane kadrowe, plany strategiczne i oczywiście loginy oraz hasła do innych systemów, co pozwala na eskalację ataku na inne “głębsze” systemy danej firmy. Ale w opisywanym przez Wprost incydencie mowa o kontach prywatnych, a nie służbowych.

Na prywatnych skrzynkach z definicji nie powinny znajdować się żaden istotne, czy też powiązane z pracą dokumenty. Wiemy jednak, że nie zawsze jest to prawda. Zwłaszcza wojskowym zdarza się używać do służbowej korespondencji swoich prywatnych skrzynek (zwłaszcza upodobali sobie skrzynki na wp.pl). Tu jednak pojawia się kolejne pytanie — skąd atakujący znali prywatne adresy pracowników MON i SGWP?

Może wzięli je z Facebooka? W tym zakresie ten serwis społecznościowy robi całkiem niezłą robotę. Odpowiednie zapytanie do jego wyszukiwarki zwraca wszystkich, którzy przyznali się do pracy w MON-ie. Ciekawe, czy tak wybierano “ofiary”?

Facebook zwraca dane setek pracowników Ministerstwa Obrony Narodowej

Facebook zwraca dane setek pracowników Ministerstwa Obrony Narodowej

Pytanie po co atakującym dostęp do skrzynek prywatnych, a nie służbowych? Ludzie często używają tego samego hasła do wielu systemów, czyżby atakujący liczyli na to, że pozyskane ze skrzynki pocztowej hasła będą pasowały także do wojskowych webmaili albo VPN-ów? A może chciano pozyskać np. prywatne fotografie lub inne kompromitujące pracowników materiały, którymi można by ich później szantażować?

…a może atak był zupełnie przypadkowy? Jakiś malware zainfekował jednego z pracowników Wojska Polskiego i potem po prostu standardowo rozesłał się do innych z jego skrzynki kontaktowej?

Kto stoi za atakiem?

Przekazana przez Wprost informacja o tym, że atak pochodził z łotewskich serwerów jest mało precyzyjna. Czy chodzi o serwery poczty, z których wysłano wiadomość? Czy może — o ile hipoteza z phishingiem jest prawdziwa — fałszywa strona hostowana była na łotewskich serwerach?

Niezależnie od tego, wskazanie Łotwy, czy też jakiegokolwiek innego kraju w tym przypadku nie odpowiada na pytanie, kto faktycznie stoi za atakiem, choć informator Wprostu sugeruje Rosjan. Dziś każdy może kupić serwery w każdym kraju, nawet w Chinach i stamtąd prowadzić atak na kogokolwiek chce.

Nieścisłości jest więcej…

Brak informacji o zakresie incydentu, typie ataku, oraz jego skali to nie jedyne nieścisłości w artykule Wprostu. Informatorem tygodnika ma być wpływowa osoba z polskich służb — danych nie ujawniono.

Kolejnym rozmówcą (również bez ujawnionej tożsamości) jest osoba z resortu obrony narodowej, która sugeruje, że za aferę z włamaniami na skrzynki pocztowe odwołano Janusza Noska, szefa Służb Kontrwywiadu Wojskowego. Posłowie, którzy brali udział w tajnym posiedzeniu komisji (ich danych także tygodnik nie podaje), mieli zaprzeczyć, że incydent był powodem dymisji generała Noska.

Być może papierowe wydanie Wprostu rozwieje kilka wątpliwości… póki co wiemy, że nic nie wiemy.

To nie był pierwszy atak na MON

Na koniec przypomnijmy, że do MON-u udało się już kilkakrotnie włamać.
W trakcie zamieszek związanych z ACTA 23 stycznia podmieniono stronę MON-u. Rok później, w marcu 2013 roku jako pierwsi informowaliśmy o ataku niejakiego Alladyna2, któremu udało się przejąć komputery pracujące w sieci nie tylko MON-u, ale również Kancelarii Prezydenta, Kancelarii Premiera oraz MSZ.

Kalendarz jednego z najwyższych rangą pracowników MSZ, do którego dostęp uzyskał Alladyn2

Kalendarz jednego z najwyższych rangą pracowników MSZ, do którego dostęp uzyskał Alladyn2

Alladyn2 uzyskał wtedy dostęp nie tylko do skrzynek pocztowych pracowników powyższych instytucji, ale również ich kalendarzy. Czy atak o którym pisze Wprost to inny incydent, czy może niezbyt zorientowany w “IT” informator Wprostu zabawił się z redaktorami tygodnika w głuchy telefon?

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. Prywatna poczta może być skarbnicą wiedzy.. Poza fotkami mamy w niej:
    – reset haseł z innych serwisów
    – wyciągi z konta/kart płatniczych (z których można np. wyczytać inklinacje do hazardu lub alkoholu)
    – plany wakacyjne (think: all inclusive + brak osłony kontrwywiadowczej)
    – sugestie gdzie można podrzucić exploity (watering holes)
    – sieć prywatnych (a często i służbowych) powiązań

    itd..

  2. @NIebezpiecznik
    Jak wyglądają testy pracowników pod kątem phisingu? Czy można pobrać jakieś próbki takich maili z “zainfekowanymi” załącznikiami, które tak naprawdę wyślą do testera maila typu “Użytkownik X padł ofiarę testowego ataku”. Czy moglibyście coś więcej o tym napisać?

  3. Nie działa ten zwrot w wyszukiwarce, tzn. nie wypluwa żadnych wyników wyszukiwania.

    • Mi działa, mam angielski język Facebooka, po polsku podejrzewam analogicznie trzeba wyszukać.

    • z tego co pamiętam to po polsku w ogóle nie działa, trzeba przestawić język na angielski

    • zmieniłem jezyk na angielski, ale gdy wpisuje to ucina mi po 20 znakach i nic ciekawego nie pokazuje :<

    • Dzięki za info, spróbuje.

    • Niestety nadal nie działa mimo angielskiej wersji witryny

  4. Upodobali sobie WP.pl, jako że można potraktować ten skrót jak Wojsko Polskie ;)

  5. Chyba znalazłem źródło, na którym dziennikarz Wprost opierał się pisząc swój artykuł.
    http://i.imgur.com/6dAQZnv.jpg
    ;)

    • Ej, no bez przesady… Nie nazywaj osób pracujących we Wprost dziennikarzami.

  6. idioci pracujacy tam, powini miec calkowity zakaz upubliczniania na fejsie tudziez innym gownie informacji na temat gdzie pracuja i jakie zajmuja stanowisko.

    • Takie przepisy istnieją, tylko kto by je przestrzegał… Podobnie jest z sądziami i prokuratorami.

  7. “Wśród zaatakowanych skrzynek pocztowych nie było takich, które należą do osób zajmujących kluczowe stanowiska w naszej armii.” …. nie ma potrzeby dostępu do tych skrzynek, bo te stanowiska są już zinfiltrowane

  8. Jakie rządy takie efekty. Kluczowe ministerstwa w tym ciężkim dla Polski okresie są okupowane przez obce mocarstwa. Serce się kraja.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.