Grupa, która tydzień temu opublikowała w internecie dane wykradzione z serwerów Netii znów się zaktywizowała. Na ich twitterowym koncie właśnie pojawiły się informacje o rzekomej kradzieży danych, tym razem z serwerów MON-u. Część z opublikowanych plików wygląda jednak na fałszywki.

Opublikowany w internecie plik XSL sugeruje, że atakujący byli w stanie pozyskać dane na temat INTER-MON-u, czyli sieci jawnej MON-u. Ujawniono wewnętrzne nazwy komputerów, ich systemy operacyjne, ścieżki LDAP, czasy ostatnich logowań i błędnych logowań, co sugeruje, że nieautoryzowany dostęp mógł nastąpić do kontrolerów domeny lub innego systemu, który przechowuje tego typu szczegółowe logi na temat każdej workstacji [EDIT: Jeden z czytelników informuje, że dane tego typu można pozyskać z dowolnego komputera podpiętego do domeny, a to oznacza, że atakujący mogli równie dobrze przejąć tylko 1 stację roboczą i jedynie sprawiają wrażenie, że posiadają więcej danych].

Poniższy zrzut ekranu opublikowany przez włamywaczy sugeruje, że został wykonany 11 lipca 2016:

Zapewne po nazwach komputerów w otoczeniu sieciowym uda się dojść do tego, czyj komputer został zaatakowany. Interesujący jest też plik “Kopia MON_tabela” — czyżby był to plik zaprezentowany na wcześniejszej fotografii w niniejszym artykule?

Ale sama lista komputerów to niestety nie wszystko…

Amerykański projekt NSA “PRISM” działa w Polsce?

Atakujący publikują też pliki, które najprawdopodobniej miałyby pochodzić z jednego lub kilku komputerów wojskowych. Wśród nich są zarówno zdjęcia jak i formularze z danymi osobowymi, które są aplikacjami na stanowisko “kandydata do służby PRISM”.

Czyżby chodziło o ten PRISM, czyli projekt NSA służący do inwigilacji internetu?

Aktualizacja: Udało nam się nieoficjalnie dowiedzieć, że oryginalna aplikacja była aplikacją do służby zagranicą. Dokument jest więc przerobiony przez Pravyy Sector.

Śmieszne żądanie okupu

Włamywacze stawiają też ultimatum: albo polski rząd zapłaci 50 000 dolarów (w bitcoinach) albo więcej danych zostanie opublikowanych w internecie.

Adres na który przestępcy chcą, aby środki zostały wpłacone to . Przeszły przez niego ostatnio 193.70314606 BTC, a ślady na forach wskazują , że adres wykorzystywany był do zbiórki pieniędzy w związku z kampaniami ransomware’owymi. Dość zabawne jest też podanie przez włamywaczy rachunku na dane “DONIK ROMAN”, należące do autora tekstów o konfliktach ukraińsko-rosyjskich. Zastanówmy się, kto chciałby mu zaszkodzić )))

Biorąc pod uwagę to, że poprzednio opublikowane przez tę grupę włamywaczy dane okazały się prawdziwe, należy spodziewać się najgorszego — sieć MON-u rzeczywiście mogła zostać zaatakowana, a dane wykradzione.

Równie dobrze jednak, choć opublikowane przez włamywaczy pliki wyglądają na prawdziwe, to mogły zostać w części lub nawet całości spreparowane. Dopóki więc MON nie potwierdzi informacji o incydencie, do publikowanych przez włamywaczy danych należy podchodzić z dużą rezerwą. Możliwe, że ich celem jest tylko wywołać zamieszanie, zwłaszcza po szczycie NATO, z którego jak wiemy Rosja nie jest zbyt zadowolona.

Nie byłoby to pierwsze włamanie do MON-u…

Na koniec przypomnijmy, że sieć wewnętrzna MON-u już raz padła ofiarą ataku. Kilka lat temu włamał się do niej Alladyn2, ale bardzo szybko został zauważony i odcięty. Miejmy nadzieję, że i ten atak pracownicy wojskowego CERT-u szybko unieszkodliwili.

Dodatkowo, rok temu Krzysztof Bondaryk ujawnił na łamach miesięcznika Raport, że z serwerów MON-u ktoś wykradł kilkaset tysięcy e-maili. Podobnie twierdził Wprost. Być może obecnie publikowane dane pochodzą z tego właśnie włamania?

PS. Poprosiliśmy MON o informacje w tej sprawie — jeśli tylko do nas spłyną, zaktualizujemy ten artykuł.



Ankieta jednego z żołnierzy jest prawdziwa. Na podany numer telefonu udało się dodzwonić Łukaszowi Woźnickiemu



Atakujący opublikowali też pierwszą paczkę danych dotyczących “PRISM” (czymkolwiek faktycznie to jest). Dane wyglądają jak posortowany zrzut ze sniffera. Protokół HTTPS (!) i odwołania do localhost sugerują, że są zbierane z końcówki, a nie ze środka trasy komunikacji (jak wedle informacji dostępnych w internecie powinien działać system PRISM), czyli nie są wiarygodne.

Materiały zwierają transakcje z wieloma serwisami, w tym z bankami polskimi i zagranicznymi, różnych przypadkowych osób. Googlanie ich danych nie wskazuje na to, że są powiązani, ani że są jakimikolwiek ważnymi osobami. To jeszcze bardziej odbiera im wiarygodność.

Mocne wyolbrzymienie ataku…

Podsumowując, dane z PRISM wyglądają więc na spreparowane/fałszywe. Podobnie jak aplikacja do służby PRISM — bo jak udało nam się nieoficjalnie dowiedzieć, przedstawiony na niej żołnierz, aplikował, ale nie do służby PRISM, a do służby zagranicą.

Czyżby więc Pravyy Sector od początku miał plan polegający na pozyskaniu zaufania poprzez publikację prawdziwych danych Netii, aby potem łatwiej przepchnąć fałszywe dane dotyczące rzekomego włamania do MON-u? Czy celem było wzbudzenie braku zaufania Polaków do swojego Ministerstwa Obrony Narodowej? A może przekonanie, że pracujemy wraz z Amerykanami nad inwigilacją internetu? Jeśli tak, to niestety — nie udało się.

Po wrzucie paczki z logami z “PRISM-u” skłaniamy się ku tezie, że grupa używająca nazwy “Pravyy Sector” cośtam może i z MON-u pozyskała, nie wiadomo kiedy, nie wiadomo jak. Nie są to jednak rzeczy istotne i włamywacze starają się je zmanipulować tak, abyśmy uwierzyli, że atak był bardziej spektakularny niż w rzeczywistości. Jeśli jesteśmy w błędzie, to zapraszamy włamywaczy do podzielenia się z nami bardziej wiarygodnymi plikami :)



MON opublikował oświadczenie w sprawie ataku:

Narracja MON-u pokrywa się ze stawianymi przez nas wczoraj tezami, że atakujący wyolbrzymiają swoje dokonania. MON w oświadczeniu informuje, że wykradzione dane pochodzą z 2012 roku — to rzeczywiście może być prawdziwe stwierdzenie w przypadku opublikowanej przez włamywaczy ankiety. Zauważmy jednak, że czym innym jest data stworzenia danego pliku (np. ankiety z 2012 roku), a czym innym data jego wykradzenia (data ataku).

Do ataku najprawdopodobniej, jak sugerują informacje na opublikowanych przez włamywaczy screenshotach, doszło niedawno, w tym tygodniu, a nie w 2012 roku. To że na chwilę obecną opublikowano dokumenty z 2012 roku, nie oznacza, że na przejętym komputerze nie znajdowały się nowsze informacje (raczej na pewno się znajdowały, np. widoczne na screenshotach zdjęcia z 2015 roku).

Specjaliści z MON na pewno analizują teraz ślady zostawione przez włamywaczy, aby określić jak dostali się na stację roboczą żołnierza, co istotnego na niej się znajdowało i mogło zostać wykradzione oraz czy złośliwe oprogramowanie wykorzystane do ataku rozpropagowało się na inne maszyny w sieci MON. Ten proces może zająć kilka dni. Nieoficjalnie dowiedzieliśmy się, że wydano “rozkaz” kontroli zabezpieczeń sieci i systemów komputerowych.



W odpowiedzi na oświadczenie MON, że dane pochodzą z 2012 roku, atakujący opublikowali zdjęcia e-maila dotyczącego organizacji szczytu NATO…

Warto zastanowić się, dlaczego publikowane materiały to zdjęcia, a nie zrzuty ekranu.



Otrzymaliśmy informacje z procesu analizy incydentu w MON. Wstępnie, wszystko wskazuje na to, że winny jest człowiek, który na służbowym komputerze sprawdzał swoją skrzynkę prywatną i zareagował na złośliwy e-mail, który na nią trafił. Zainfekował tym samym swój komputer służbowy, chociaż “chronił” go antywirus McAfee.

Atak wedle naszych informacji nie rozpropagował się na inne komputery, ale atakującym udało się zenumerować obiekty w AD (plik Excela opublikowany przez włamywaczy, choć dodano do niego 2 ostatnie wpisy dot. PRISM, które zaznaczyliśmy na umieszczonej w tekście fotografii na czerwono). Na komputerze ofiary nie znajdowały się żadne istotne pliki. Być może dlatego atakujący stworzyli ankietę, która została w całości sfabrykowana — taki szablon dokumentu nie jest używany w MON. Szablon uzupełniono prawdziwymi danymi żołnierza, ale dodano fałszywy nagłówek “PRISM”.

Pytanie które jest otwarte, to czy atak był skierowany (atakujący wysyłali złośliwe e-maile na konkretne prywatne skrzynki konkretnych wojskowych), czy masowy (atakujący rozsyłali trojana gdzie popadnie, ale ucieszyli się, że jeden z zainfekowanych komputerów znajdował się w domenie MON-u).

Przeczytaj także: