Tytuł jest bardzo ogólny, bo atak o którym chcę poinformować dotyczy kilku instytucji bankowych oraz prawdopodobnie strony Komisji Nadzoru Finansowego, która przestała działać poprawnie. Obszerny cytat za ZTS
Cytat:Od ponad tygodnia polski sektor bankowy walczy z bardzo skutecznymi włamywaczami. Nieznani sprawcy uzyskali jakiś czas temu dostęp do stacji roboczych oraz serwerów w co najmniej kilku bankach i wykradli z nich dane.
Wszystko wskazuje na to, że mamy do czynienia z najpoważniejszym ujawnionym atakiem na infrastrukturę krytyczną oraz sektor bankowy w historii naszego kraju. W ostatnich dniach kilka działających w Polsce banków odnalazło w swojej sieci zaawansowane technicznie złośliwe oprogramowanie, nieznane wcześniej narzędziom antywirusowym. Zainfekowane były zarówno komputery pracowników, jak i – co gorsze – serwery bankowe. Włamywacze mogli niezauważeni atakować wewnętrzne sieci banków od co najmniej kilku tygodni, a prawdopodobnie w niektórych przypadkach nawet od jesieni 2016.
W wielu bankach trwa w tej chwili skrupulatny przegląd wszystkich komputerów, serwerów oraz rejestrów ruchu sieciowego. Niektóre badanie zakończyły i potwierdziły, że nie były ofiarami ataków. Inne nadal szukają, zatem nie jest wykluczone, że liczba potwierdzonych infekcji może wzrosnąć. Kilka dni temu w wewnętrznym systemie międzybankowym SWOZ (System Wymiany Ostrzeżeń o Zagrożeniach) zamieszczone zostały informacje o potencjalnych symptomach infekcji. Obejmują one sporą listę adresów IP, z których korzystało złośliwe oprogramowanie oraz krótki opis techniczny sposobu jego funkcjonowania. Pojawiły się także uzasadnione podejrzenia, że pierwotnym sposobem ataku było złośliwe oprogramowanie umieszczone na serwerze pewnej instytucji państwowej, które od października próbowało infekować wyłącznie komputery wybranych użytkowników, w tym pracowników banków.
Prawdopodobny związek z tą sytuacją ma tymczasowa niedostępność witryny Komisji Nadzoru Finansowego ([Aby zobaczyć linki, zarejestruj się tutaj]
), która wczoraj około południa na chwilę całkiem zniknęła z sieci, by powrócić z poniższym komunikatem
"Na stronie prowadzone są prace serwisowe. Przepraszamy za utrudnienia"
Byłoby niezwykłą ironia losu, gdyby okazało się, że to faktycznie witryna instytucji odpowiedzialnej za wyznaczanie i egzekwowanie zasad bezpieczeństwa IT w sektorze finansowym sama stała się na skutek własnych zaniedbań narzędziem ataku na firmy, których poziom zabezpieczeń kontrolowała. Niestety na taki przebieg wydarzeń mogą wskazywać zapisy z serwisu PassiveTotal (wymagana rejestracja), który odnotował pojawienie się w domenie knf.gov.pl wstrzykniętych obiektów z podejrzanych domen takich jak eye-watch.in oraz sap.misapor.ch, które zaczęły się ok. 7 października 2016 a skończyły dopiero wczorajszym wyłączeniem strony KNF.
Skala ataku, sposób jego przeprowadzenia i poziom zaawansowanie użytych narzędzi sugerują działanie albo wyspecjalizowanej grupy przestępczej, albo wywiadu obcego państwa. Ślady zawarte zarówno w oprogramowaniu jak i wynikające z analizy ruchu sieciowego wskazują na różne kraje, zatem nie sposób na ich podstawie próbować przypisywać jakiejkolwiek odpowiedzialności. Bez wątpienia na świecie jest kilka lub kilkanaście grup włamywaczy potrafiących przeprowadzać podobne ataki – pytanie, która z nich i z jakiego powodu była zainteresowana danymi z polskiego systemu bankowego.
Pracuję w banku, co robić?
Incydent pokazał dwa problemy. Po pierwsze udowadnia, że do każdego można się włamać. Pokazuje też, że wykrycie takiego włamania, nawet w firmach względnie dojrzałych pod kątem bezpieczeństwa IT, jakimi są polskie banki, zajmuje sporo czasu. Na plus bankom możemy zaliczyć to, że jak mało które firmy są dzisiaj w stanie sprawdzić, czy padły ofiarami włamania i włamywacza z sieci usunąć. Niestety incydent pokazał także, że dużym problemem sektora finansowego (choć w innych nie jest lepiej) jest brak wymiany informacji pomiędzy poszczególnymi podmiotami. Banki, które atak wykryły jako pierwsze, niekoniecznie chciały bezpośrednio dzielić się taką informacją z konkurencją. Te, które infekcji nie znalazły, zastanawiają się, co robić i na czyją pomoc mogą liczyć. Brak sensownej koordynacji ze strony organów do tego powołanych niestety nie ułatwia sprawy. Najwyraźniej nie dorosły jeszcze do ról, które w założeniu miały w takich sytuacjach odgrywać. Na całe szczęście niektóre banki szybko udostępniły dane ze swoich analiz pozostałym graczom w sektorze. Jeśli zatem możecie i chcecie poszukać w swoim banku śladów zagrożenia, to spójrzcie na komunikaty w systemie SWOZ i przeanalizujcie swoje logi (bo macie logi, prawda?). Jeśli szukacie pomocy merytorycznej, możecie spróbować w zespołach takich jak CERT.PL i CERT.GOV.PL. Operatorom infrastruktury krytycznej przypominamy o art. 32d Ustawy o ABW oraz AW zobowiązującym ich do zgłoszenia incydentu do CERT.GOV.PL.
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"