17:02
17/10/2013

Wczoraj informowaliśmy, że Anonymous wykradli i opublikowali w internecie dane z serwerów Ministerstwa Gospodarki. Dziś MG informuje, iż przeprowadziło już wstępną analizę incydentu, z której wynika, że zabezpieczenia portalu trade.gov.pl nie zostały przełamane, a atakującym udało się jedynie dostać do jednej ze skrzynek pocztowych.

Oświadczenia MG i CERT-u

Jak możemy przeczytać w oświadczeniu MG:

Ministerstwo Gospodarki informuje, iż w związku z opublikowaniem elementów informacji z Wydziałów Promocji Handlu i Inwestycji podjęte zostały działania zabezpieczające. Ministerstwo Gospodarki zgłosiło incydent do cert.gov.pl, które podejmuje stosowne działania w imieniu Agencji Bezpieczeństwa Wewnętrznego. Ponadto powiadomiony został Komendant Komendy Rejonowej Policji Warszawa I.
Jednocześnie informujemy, że po przeanalizowaniu zapisów systemów informatycznych nie stwierdzono przełamania zabezpieczeń portalu trade.gov.pl. Przechwycony został pojedynczy login oraz hasło do skrzynki pocztowej co spowodowało pobranie korespondencji.
System informatyczny MG działa bez zakłóceń.

Dalej jednak nie wiemy, jak Anonimowi dostali się do ministerialnej skrzynki. Czy odgadli hasło? Czy może zainfekowali komputer właściciela skrzynki złośliwym oprogramowaniem?

Dodatkowo na stronach rządowego CERT-u, działającego w ramach ABW, znaleźć można komunikat, iż archiwum govppl.rar, czyli kilkuset megabajtowej paczce danych wykradzionych ze skrzynki pocztowej należącej do Ministerstwa Gospodarki, jest “zainfekowany złośliwym oprogramowaniem”:

Mając na względzie ostatnie informacje opublikowane w sieci Internet, dotyczące serwisu TRADE.GOV.PL, zespół CERT.GOV.PL ostrzega, iż możliwy do pobrania plik archiwum o nazwie “govpl.rar” zainfekowany jest oprogramowaniem złośliwym. Zespół CERT.GOV.PL zaleca niepobieranie i nieotwieranie w/w pliku archiwum.

Chcielibyśmy doprecyzować oświadczenie rządowego CERT-u. Nie jest prawdą, że zainfekowany jest cały plik archiwum — zainfekowany jest jeden co namniej jeden z plików, który w archiwum się znajduje. Dokładnie chodzi o plik .exe w archiwum Purchase Order.zip:


Purchase Order.zip
SHA256: dc5ae133742f7c1a72c30a617a0a547171bd60af7804ddc8b3ebae5bdee8f405
|--> Purchase Invoice.exe
|--> SHA256: bdc2ac0782795859d89813922c3d44bba002c5bfe8a9144aa23d3e69add5af26

Oto, jak ten plik widzą antywirusy:

Antivirus_scan_for_decceb46144f7550433a5fdba8b9aa90_at_UTC_-_VirusTotal

Antivirus_scan_for_decceb46144f7550433a5fdba8b9aa90_at_UTC_-_VirusTotal

a tutaj wynik analizy pod kątem złośliwych zachowań. Wszystko wskazuje na to, iż jest to standardowy klient botnetu ZeuS, popularnego trojana służacego do ataków na bankowość internetową. Plik po uruchomieniu probuje łączyć się z ptcmoney.biz (96.127.169.2). Dalsza analiza pliku trwa, będziemy informowali na bieżąco, zarówno o tym, jak i o innych potencjalnie zainfekowanych plikach.

Na marginesie, w archiwum govpl.rar, zawierającym wykradzione z Ministerstwa Gospodarki dane, Anonymous udostępnili aż 535 plików (m.in.: .jpg, .pdf, .doc, xls, .rar, .zip). Są to najprawdopodobniej załączniki pochodzące z zaatakowanej przez Anonimowych skrzynki pocztowej minsk@trade.gov.pl.

Malware to nie “wrzutka” Anonimowych?

Zainfekowany plik/pliki niekoniecznie zostały podrzucone do archiwum przez Anonimowych — dany zawirusowany plik, to po prostu mógł być jeden z załączników pochodzących z rzeczywistego listu znajdującego się w skrzynce, do której dobrali się Anonimowi (zwłaszcza, że “wirus” to klient Zeusa, popularnego trojana bankowego).

Internauci masowo dostają spam, a często także e-maile z zainfekowanymi załącznikami (por. Uwaga na e-maile z PDF-ami od PureMobile Inc.) i nie ma nic dziwnego w tym, że takie e-maile trafiły też na skrzynkę rządową. Tego typu e-maile są rozsyłane masowo (chociaż nie można wykluczyć, że to ślad wcześniejszego ukierunkowanego na pracowników Ambasady ataku, przeprowadzanego przez inną grupę — niestety nie wiemy kto był adresatem e-maila, z którego pochodzi ten załącznik, ani jak dawno temu ten e-mail został wysłany).

PS. Oczywiście nie można wykluczyć, że wśród dokumentów wewnątrz archiwów, poza ZeuSem znajdują się jeszcze jakieś pliki-exploity wykorzystujące nieznaną dotąd podaność, np. w MS Office. Ale jest to mało prawdopodobne, — Anonimowi nie korzystali do tej pory w swoich atakach z 0day’ów…

Aktualizacja 11:00
TVN, we wczorajszych Faktach postawił hipotezę, jakoby Anonimowi, wykradając dane, pobrali także z rządowych serwerów złośliwe oprogramowanie (“wirusa obronnego”), który miał tam zostać zostawiony celowo, przez nasze służby…

Nie wiemy na jakiej podstawie TVN wysnuła tę hipotezę, ani czy rzeczony “wirus obronny” znajduje się w wystawionej przez Anonimowych paczce “govpl.rar”. Powątpiewamy jednak, aby miał on znajdować się w skrzynce pocztowej minsk@trade.gov.pl — wydaje się to mało realne, ale oczywiście zachęcamy Was do zweryfikowania tej hipotezy :-)

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. Nieprawda, że jedyny wyżej wskazany plik wykonalny jest zawirusowany, ponieważ pliki .pdf są również zainfekowane keyloggerem i dokonują wpisu w rejestrze. Tylko, że mają dynamiczne crc, więc na razie przez większość antywirusów są niewykrywalne.

    • Marku, a który z plików PDF jest zainfekowany? Podrzuć proszę nazwę. Też mielę to archiwum od rana i na razie ze znanych wyskakuje mi tylko ZBOT opisany w artykule.
      Zgadzam się z Niebezpiecznikiem, że zerodaysów tam nie będzie raczej.

    • Może się nie znam, ale…od kiedy wynik skanowania antywirusem jest zależny od sumy kontrolnej skanowanego pliku? Wytłumaczysz?

    • Jesli wrzucasz plik do VirusTotal to najpierw sprawdzana jest suma kontrolna- jeśli tak to skaner od razu może podać wynik wcześniejszego skanowania.

    • Wyszukiwanie po sumie kontrolnej to jedna z heurystyk
      używanych przez antywirusy. Jeżeli coś dopasuje – może zwrócić
      wynik “tak, ten plik jest zainfekowany”. Jeśli jednak suma jest
      nieznana, to decydują inne heurystyki, czyli wynik sprawdzenia sumy
      kontrolnej to “nie wiadomo, czy ten plik ma wirusa”, a nie “ten
      plik nie ma wirusa”. Inna sprawa, że nie ma czegoś takiego, jak
      plik z dynamiczną sumą kontrolną. Plik to dane. Dane nie mają
      zachowań, więc nic nie robią.

    • Zależy z jakiego rodzaju plikiem mamy do czynienia. Pewnie, że pliki binarne nic nie robią (sarkazm)… szczególnie loader wstrzyknięty w pdf , który otworzyliśmy adobe readerem zawierającym exploita. Uruchamiający plik wykonywalny w powłoce windows’a i patchuje do fud’a. Tak to jakaś magia, przecież komputera nie da się zaprogramować O__o.

  2. Pytanie pierwsze, zasadnicze i ostatnie: Kto takie rzeczy przegląda na niezabezpieczonym komputerze, z którego korzysta na co dzień? W dzisiejszych czasach jakiś OS, najlepiej linux (choćby i w formie maszyny wirtualnej) to MINIMUM.

    • Zdecydowana większość ;)

  3. Ładnie się prezentujem w telewizji Panie Piotrze ;D

  4. OMG, na TVNie powiedzieli, że to pracownicy Niebiezpiecznika wykryli atak :P

    • LOL. To mijają się z prawdą. Niestety TVN nie udostępnia materiału przed publikacją do autoryzacji :(

      Dementuję więc: my tylko śledzimy ruchy Anonimowych i je opisujemy. A dokładniej śledzimy pewien serwis, na którym ukazała się ta paczka ok. 5h przed naszą publikacją na ten temat. Nie mamy dostępu do logów z IPS-ów MG, więc to nie my “wykryliśmy” atak na nich :)

  5. też widziałem :))

  6. Gratulujemy występu w wieczornym wydaniu “Faktów”

  7. Mówili w TV, że dane są zainfekowane jakąś pułapką, honeypotem czy coś. O ile binarkę łatwo poznać (albo od razu uruchamiać w wirtualce-sandboxie), o tyle np. w jakimś dokumencie HTML wystarczy zrobić link do odpowiedniego obrazka z indywidualnym adresem i od razu widać kto, skąd otwiera.

    • Tylko zakładając, że ktoś otwiera cokolwiek z tych rzeczy w
      maszynie podłączonej do internetu.

  8. Ministerstwa we Francji, Policja pracuje na linux-sie,
    dlaczego nasz rząd trzyma się kurczowo tego badziewa Windowsa
    ?

  9. Haha, rządowi “informatycy” dodali tam DarkCometa tylko nie
    wiedzieli że wykrywa go 99,9% antywirusów :D Pr0 experci

  10. Czy jezeli otworzylem to archwium na ubuntu to powinienem
    sie czegos obawiac?

    • tak

    • Idziemy po ciebie

  11. http://www.tokfm.pl/Tokfm/1,103087,14799476,Nielegalnie_ujawnione_dokumenty_resortu_gospodarki.html
    tok fm sie na Was powołuje, fanfary !

  12. Policja nie tylko we Francji ale i również w Niemczech przeszła na linuxy. My mamy układy z Gates’em wiec co sie dziwić. Poza tym kto powiedział, że linux jest bezpieczniejszy? Są ‘wirusy’ i na linuxa tylko znacznie,znacznie mniej. Dlaczego? 1-jest to malo powszechny system(porownujac do windy),2- trzeba sie napracowac aby zainfekowac system/konto uzytkownika.

    • Ktoś kiedyś powiedział “Żeby zainfekować Linuksa, musisz nad tym popracować. Żeby zainfekować Windowsa wystarczy na nim popracować”. Myślę że ten cytat dobrze tu pasuje.

      P.S. Nie wiem kogo to słowa & mogłem coś przekręcić więc proszę o poprawkę w razie czego.

    • “Żeby zainfekować Linuksa, musisz nad tym popracować.”
      spyware i crapware pod androida disagrees.

  13. Jeśli to “wirus obronny” to mam nadzieję, że ktoś wyciągnie z niego ciekawe dane ;)
    A nóż łączy się z jakimś rządowym serwerem FTP, na którym z pewnością są ciekawe dane ;)

    • Wszystko w toku.

  14. Gdyby administracja przeszla na linuxy to mieli by do czynienia z brakiem tego typu incydentow. WIrusy nie mialy by racji bytu. Czemu na to ludzie nie wpadną? i czemu zamiast ms off nie korzystaja z libre off. A tak to jeszcze sto razy ktos cos zrobi nawet majac nie wiadomo jakiego tam antywirusa. Po co im bramy i firewalle na linuxie ze snortem ktore maja zapewne skoro mozna mailem zlosliwy kod podeslac. Gdyby jednak wszystko chodzilo pod linux albo unix problem by zniknal, nie uwazacie?

  15. Już nawet na WP mówią o heroicznych czynach Niebezpiecznika :D
    http://tech.wp.pl/kat,1009779,title,Uwaga-Dokumenty-wykradzione-z-resortu-gospodarki-zarazone-wirusem,wid,16085214,wiadomosc.html

  16. […] — albo trojany po prostu były załącznikami do e-maili, o które wnioskował prawnik (por. Ministerstwo Gospodarki wyjaśnia wczorajszy wyciek a ABW ostrzega przed złośliwym oprogramowaniem). Nie ma też nic dziwnego w przesyłaniu, w odpowiedzi na wnioski, danych na nośnikach — to […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.