Ważne i poufne dokumenty wielu polskich firm do znalezienia w sieci

VirusTotal • wpadka • wyciek 26 lutego 2018 o 17:36 w kategorii Wpadki z tagami: chmura R dodał

Firmy chronią swoje informacje. Wdrażają procedury bezpieczeństwa, szyfrują pliki, ograniczają dostęp do systemów. A potem ktoś niweczy cały wysiłek organizacji i po prostu wrzuca poufne pliki do serwisu VirusTotal.

Często słyszymy doniesienia o wyciekach poufnych dokumentów czy korespondencji. Zazwyczaj tego typu wycieki kojarzą się nam z włamaniem lub celowym działaniem osoby wewnątrz organizacji. Okazuje się, że w wielu przypadkach przestępcy nie muszą podejmować takich działań, bo mają do dyspozycji dużo prostsze metody, w pełni legalne. Nieświadomi użytkownicy często sami wysyłają takie informacje do serwisów trzecich, nie zdając sobie sprawy, co się z nimi może dalej dziać. Wpis ten będzie oparty na przykładzie jednego z popularnych serwisów do skanowania plików – VirusTotal.

Pan wrzuca, pani wrzuca, każdy wrzuca

Być może niektórzy Czytelnicy pomyślą „ale przecież nikt nie wrzuca poufnych plików do publicznej chmury”. Niestety rzeczywistość jest inna i zdarza się to nadzwyczaj często. Skorzystaliśmy z naszych kontaktów z osobami posiadającymi dostęp do usługi Intelligence w VirusTotal, umożliwiającej wyszukiwanie i pobieranie plików wgranych przez innych użytkowników i rozpoczęliśmy poszukiwania.

Na wyniki nie trzeba było długo czekać. Na początek trafiliśmy na ciekawy dokument, z którego możemy wnioskować, że jest odpowiedzią na zapytanie PGNiG TERMIKA, czy dokument informujący o zmianie konta bankowego dostawcy, prawdopodobnie otrzymany wcześniej przez tę firmę, jest prawdziwy.

Z odpowiedzi Mitsubishi wynika, że nie. Czyżby PGNiG było wcześniej celem ataków mających na celu podszycie się pod Mitsubishi i podanie fałszywego konta bankowego do przelewów? Prawdopodobnie atak został wykryty i za to plus dla PGNiG, ale chyba odpowiedź od Mitsubishi również wzbudziła podejrzenia i została wysłana do skanowania w chmurze, dzięki czemu wszyscy mogliśmy się z nią zapoznać…

Zostawmy już PGNiG i przenieśmy się teraz do innego typu plików, niebędącego może aż tak oczywistym. Otóż poza dokumentami (pdf, doc, docx itd.) często na VirusTotal pojawiają się całe maile wraz z załącznikami, tak jak np. mail do biura przepustek Naftoportu:

A w załączniku pliki z danymi (imię i nazwisko, PESEL, nr dowodu) osób, które proszą o wjazd:

O ile nie jest to poważny wyciek danych sam w sobie (takich informacji można znaleźć na pęczki w Internecie), to w przypadku infrastruktury krytycznej, jaką jest Naftoport, informacja o tym, jaka firma i jacy jej pracownicy (oraz szczegółowe dane tych pracowników) są spodziewani i kiedy, może bardzo ułatwić zadanie atakującym. Nie tylko do stworzenia dobrze skrojonego phishingu, ale także do fizycznego dostania się na teren portu.

Jest to wierzchołek góry lodowej, jako inne przykłady można podać:

zrzut ekranu z systemu SWOZ (System Wymiany Ostrzeżeń o Zagrożeniach, wewnętrzny system międzybankowy o bardzo ograniczonym dostępie) wklejony do dokumentu Worda i wysłany przez pracownika państwowego banku,

pełną prezentację jednego z największych polskich banków omawiającą w szczegółach wyniki wewnętrznego skanowania podatności w systemach bankowych, opisującego listę ponad 20 tysięcy mniejszy i większych problemów bezpieczeństwa oraz plan i harmonogram prac zmierzających do ich usunięcia, wraz z kompletną listą wszystkich systemów używanych w banku,

prywatne notatki na temat operacji kontrwywiadowczej prowadzonej między innymi przez polskie służby na Bliskim Wschodzie.

Wcześniej opisywaliśmy także inny ciekawy przypadek wycieku bazy jednego z największych forów przestępczych w Polsce – ToRepublic, której publikacja zaczęła się właśnie od przypadkowego wrzucenia na VirusTotal i wykrycia tego incydentu przez polskiego badacza bezpieczeństwa Marcina Siedlarza. Kto wie, jak długo ToRepublic mogłoby jeszcze działać, gdyby nie ta wpadka.

O setkach CV czy zeznaniach podatkowych z licznymi danymi osobowymi szkoda nawet pisać.

Inne kraje nie zostają w tyle

Oczywiście Polska nie jest jedynym krajem w którym popełniane są podobne błędy. Pokazał to przypadek najnowszego złośliwego oprogramowania atakującego przemysłowe systemy sterowania (TRITON/TRISIS/HatMan – o którym w Polsce było dosyć cicho, ale wkrótce opublikujemy obszerny artykuł na ten temat). Oprogramowanie to zostało znalezione w jednej z rafinerii na Bliskim Wschodzie przez firmę FireEye. Wstępna analiza wykazała, że może to być wysoce wyspecjalizowany atak i z tego powodu zostało nałożone embargo na jakiekolwiek dzielenie się informacjami o jego szczegółach, z wyłączeniem producenta urządzenia, na które atak był kierowany (Schneider Electric), i odpowiednich służb. Szczególnie obawiano się wycieku kodu (w Pythonie), który implementował zamknięty protokół wykorzystywany przez systemy bezpieczeństwa SIS.

Niestety jeden z pracowników firmy Schneider Electric zaraz po otrzymaniu plików wysłał… do VirusTotal i całe embargo na nic się nie zdało, bo mimo że w ciągu doby wynika skanowania został usunięty, to zanim do tego doszło, został szybko pobrany i pojawił się w innych miejscach.

Nie jest to przypadek odosobniony. Firma Dragos prowadzi projekt MIMICS, skupiający się na pozyskiwaniu informacji o nowych plikach powiązanych z przemysłowymi systemami sterowania właśnie przy pomocy publicznie dostępnych źródeł jak VirusTotal. Znaleziono w ten sposób m.in. ponad 120 plików projektów wgranych przez inżynierów programujących sterowniki PLC, liczne raporty NRC (Nuclear Regulatory Commission) czy szczegółowe raporty z przeprowadzanych napraw.

Ale jak to, VirusTotal jest publiczny?

Wielu z Was zapewne wie, jak działa serwis VirusTotal i jemu pokrewne serwisy, ale dla porządku wytłumaczmy to na prostym przykładzie. Załóżmy, że użytkownik dostał pocztą plik, co do którego nie ma pewności, czy nie został zainfekowany. Na pewno najlepszym wyjściem byłoby zgłoszenie tego do odpowiedniego działu zajmującego się bezpieczeństwem, ale ten użytkownik jest wyjątkowo uparty i chce wszystko zrobić we własnym zakresie.

Zakładając, że nie zna się on na analizie złośliwego oprogramowania, może zdać się na swojego lokalnego antywirusa albo jeśli wie trochę więcej, skorzystać z jednej z chmur, która przeskanuje jego plik z wykorzystaniem kilkudziesięciu silników antywirusowych.

W uproszczeniu takie usługi oferuje właśnie VirusTotal, za darmo. Tylko że „za darmo” prawie zawsze ma swoją cenę. Wyszukiwarka Google jest za darmo, bo dajemy informacje o naszych wyszukiwaniach i dzięki temu Google może lepiej dostosowywać reklamy. VirusTotal jest za darmo, bo dajemy nasze pliki i dostawcy AV / badacze bezpieczeństwa / inne osoby, które zapłacą, otrzymują informacje o nowych zagrożeniach. Polityka prywatności VirusTotal mówi wprost:

When you submit content to VirusTotal for scanning, we may store it and share it with the anti-malware and security industry (…) Files, URLs, comments and any other content submitted to or shared within VirusTotal may also be included in premium services offered by VirusTotal to the anti-malware and ICT security industry (…)

Taka osoba posiadająca dostęp do usługi „premium” (w ofercie VirusTotal to się nazywa Intelligence) może ustawić sobie powiadomienia na konkretne słowa kluczowe, typy plików i wiele więcej (można korzystać z reguł YARA), pod kątem których będzie skanowany każdy plik wgrywany do serwisu. Następnie wyniki są w przystępnej formie prezentowane na liście:

A po wejściu można znaleźć szczegółowe informacje o pliku lub go pobrać:

Jak żyć

Po pierwsze, jak zawsze należy pamiętać o zasadzie, że coś, co raz zostało wrzucone do Internetu, na zawsze tam pozostaje i ktoś może do tego kiedyś uzyskać dostęp oraz że chmury do skanowania plików są miejscami publicznymi. Mimo że artykuł mówi o VirusTotal, to należy go traktować tylko jako przykład i pamiętać, że inne strony działają na podobnych zasadach. Warto też nie przechodzić od skrajności w skrajność i pamiętać, że tego typu serwisy są bardzo pomocne, czego najlepszym dowodem jest to, że są wykorzystywane praktycznie codziennie w pracy bezpieczników.

Osoby odpowiedzialne za bezpieczeństwo w firmach czy prowadzące szkolenia, gdy opowiadają o serwisach do skanowania plików, powinny zawsze wspominać także o potencjalnych zagrożeniach i konieczności pamiętania, że dany plik po wgraniu powinien być traktowany jako publicznie dostępny. Warto też monitorować tego typu miejsca lub skorzystać z usług firm to robiących, aby na czas zareagować, gdy jakiś firmowy plik znajdzie się w takiej chmurze. VirusTotal w miarę szybko reaguje i potrafi usunąć plik zgłoszony z odpowiednim uzasadnieniem w ciągu doby (co nie zawsze wystarcza, jak w przypadku TRITON-a).

A jak sobie z tym radzą przestępcy?

Co ciekawe, przestępcy dostrzegli ten problem już bardzo dawno. Twórcy złośliwego oprogramowania i osoby odpowiedzialne za jego dystrybucję potrzebują metody, aby weryfikować, czy rozsyłany plik nie jest już wykrywany przez antywirusy, a jeśli jest, to w jakim stopniu. Wymusiło to powstawanie serwisów tworzonych przez przestępców dla przestępców, gdzie za opłatą można sprawdzić wykrywalność pliku i dostać zapewnienie, że pliku nikt nie otrzyma. Oczywiście to, czy dany serwis nie dzieli się z nikim próbkami, jest tylko kwestią zaufania.



Jako ciekawostkę można dodać, że największe rozterki na ten temat sięgają roku 2007, kiedy to VirusTotal oferował możliwość zaznaczenia opcji „Do not distribute the sample”, która przez długi czas była chętnie wykorzystywana przez twórców złośliwego oprogramowania i wydawało się, że faktycznie działa… do momentu, gdy mimo zaznaczania tej opcji wszystko, co zostało wrzucone do VT, stawało się wykrywalne przez antywirusy w ciągu kilku godzin :)

Kilka miesięcy później opcja ta została wyłączona i nie ma jej do dziś.

VirusTotal i związane z nim zagrożenia

są jednym z tematów, które poruszamy w trakcie naszych szkoleń uświadamiających pracowników. Opisujemy podobne incydenty, by nauczyli się nie wysyłać poufnych plików do pierwszej lepszej chmury. Możemy wyszkolić także Twoich kolegów i koleżanki – wystarczy nas zaprosić do Twojej firmy.