Włamania do polskiego sektora finansowego...i nie tylko, jak się okazuje

[ichito]

Tytuł jest bardzo ogólny, bo atak o którym chcę poinformować dotyczy kilku instytucji bankowych oraz prawdopodobnie strony Komisji Nadzoru Finansowego, która przestała działać poprawnie. Obszerny cytat za ZTS

Od ponad tygodnia polski sektor bankowy walczy z bardzo skutecznymi włamywaczami. Nieznani sprawcy uzyskali jakiś czas temu dostęp do stacji roboczych oraz serwerów w co najmniej kilku bankach i wykradli z nich dane.

Wszystko wskazuje na to, że mamy do czynienia z najpoważniejszym ujawnionym atakiem na infrastrukturę krytyczną oraz sektor bankowy w historii naszego kraju. W ostatnich dniach kilka działających w Polsce banków odnalazło w swojej sieci zaawansowane technicznie złośliwe oprogramowanie, nieznane wcześniej narzędziom antywirusowym. Zainfekowane były zarówno komputery pracowników, jak i – co gorsze – serwery bankowe. Włamywacze mogli niezauważeni atakować wewnętrzne sieci banków od co najmniej kilku tygodni, a prawdopodobnie w niektórych przypadkach nawet od jesieni 2016.

W wielu bankach trwa w tej chwili skrupulatny przegląd wszystkich komputerów, serwerów oraz rejestrów ruchu sieciowego. Niektóre badanie zakończyły i potwierdziły, że nie były ofiarami ataków. Inne nadal szukają, zatem nie jest wykluczone, że liczba potwierdzonych infekcji może wzrosnąć. Kilka dni temu w wewnętrznym systemie międzybankowym SWOZ (System Wymiany Ostrzeżeń o Zagrożeniach) zamieszczone zostały informacje o potencjalnych symptomach infekcji. Obejmują one sporą listę adresów IP, z których korzystało złośliwe oprogramowanie oraz krótki opis techniczny sposobu jego funkcjonowania. Pojawiły się także uzasadnione podejrzenia, że pierwotnym sposobem ataku było złośliwe oprogramowanie umieszczone na serwerze pewnej instytucji państwowej, które od października próbowało infekować wyłącznie komputery wybranych użytkowników, w tym pracowników banków.

Prawdopodobny związek z tą sytuacją ma tymczasowa niedostępność witryny Komisji Nadzoru Finansowego (

[Aby zobaczyć linki, zarejestruj się tutaj]

), która wczoraj około południa na chwilę całkiem zniknęła z sieci, by powrócić z poniższym komunikatem
"Na stronie prowadzone są prace serwisowe. Przepraszamy za utrudnienia"

Byłoby niezwykłą ironia losu, gdyby okazało się, że to faktycznie witryna instytucji odpowiedzialnej za wyznaczanie i egzekwowanie zasad bezpieczeństwa IT w sektorze finansowym sama stała się na skutek własnych zaniedbań narzędziem ataku na firmy, których poziom zabezpieczeń kontrolowała. Niestety na taki przebieg wydarzeń mogą wskazywać zapisy z serwisu PassiveTotal (wymagana rejestracja), który odnotował pojawienie się w domenie knf.gov.pl wstrzykniętych obiektów z podejrzanych domen takich jak eye-watch.in oraz sap.misapor.ch, które zaczęły się ok. 7 października 2016 a skończyły dopiero wczorajszym wyłączeniem strony KNF.

Skala ataku, sposób jego przeprowadzenia i poziom zaawansowanie użytych narzędzi sugerują działanie albo wyspecjalizowanej grupy przestępczej, albo wywiadu obcego państwa. Ślady zawarte zarówno w oprogramowaniu jak i wynikające z analizy ruchu sieciowego wskazują na różne kraje, zatem nie sposób na ich podstawie próbować przypisywać jakiejkolwiek odpowiedzialności. Bez wątpienia na świecie jest kilka lub kilkanaście grup włamywaczy potrafiących przeprowadzać podobne ataki – pytanie, która z nich i z jakiego powodu była zainteresowana danymi z polskiego systemu bankowego.
Pracuję w banku, co robić?

Incydent pokazał dwa problemy. Po pierwsze udowadnia, że do każdego można się włamać. Pokazuje też, że wykrycie takiego włamania, nawet w firmach względnie dojrzałych pod kątem bezpieczeństwa IT, jakimi są polskie banki, zajmuje sporo czasu. Na plus bankom możemy zaliczyć to, że jak mało które firmy są dzisiaj w stanie sprawdzić, czy padły ofiarami włamania i włamywacza z sieci usunąć. Niestety incydent pokazał także, że dużym problemem sektora finansowego (choć w innych nie jest lepiej) jest brak wymiany informacji pomiędzy poszczególnymi podmiotami. Banki, które atak wykryły jako pierwsze, niekoniecznie chciały bezpośrednio dzielić się taką informacją z konkurencją. Te, które infekcji nie znalazły, zastanawiają się, co robić i na czyją pomoc mogą liczyć. Brak sensownej koordynacji ze strony organów do tego powołanych niestety nie ułatwia sprawy. Najwyraźniej nie dorosły jeszcze do ról, które w założeniu miały w takich sytuacjach odgrywać. Na całe szczęście niektóre banki szybko udostępniły dane ze swoich analiz pozostałym graczom w sektorze. Jeśli zatem możecie i chcecie poszukać w swoim banku śladów zagrożenia, to spójrzcie na komunikaty w systemie SWOZ i przeanalizujcie swoje logi (bo macie logi, prawda?). Jeśli szukacie pomocy merytorycznej, możecie spróbować w zespołach takich jak CERT.PL i CERT.GOV.PL. Operatorom infrastruktury krytycznej przypominamy o art. 32d Ustawy o ABW oraz AW zobowiązującym ich do zgłoszenia incydentu do CERT.GOV.PL.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Tajny Współpracownik]

Pekao pewnie jest bezpieczne bo od dwóch miesięcy sypie im się system transakcyjny :p (leżącego się nie kopie).

[Quassar]

@Tajny Współpracownik

Skąd masz pewność że to nie przypadkiem skutki uboczne wcześniejszych włamań na ich bank -,-

[Tajny Współpracownik]

Bo gdyby byli atakowani, to poleciałoby wszystko - włamywacz bierze wszystko. Poza tym, w ataku zawsze chodzi o to, żeby zrobić szybko (!!) "brudną robotę". Dwa miesiące drażnić bank to prosić się o wykrycie.

[rogacz]

Chyba że się wykrycia obawiać nie musisz

[ichito]

Obszerna aktualizacja tematu z wczoraj

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

Najnowsze badania  Symantec i BAE Systems wskazują, że atak na nasz sektor finansowy to tylko część szerszego ataku, który objął ponad 100 organizacji/instytucji w 31 krajach - Meksyk, Brazylia, Chile, Dania, Kolumbia, Wenezuela, UK, Peru, Indie. Dane uzyskane z analiz wskazują też potencjalnego sprawcę, która jest

[Aby zobaczyć linki, zarejestruj się tutaj]

.
źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

W związku z kilkoma sygnałami o potencjalnym zagrożeniu, jakie może stwarzać witryna internetowa Urzędu, prowadzony jest obecnie we współpracy z zewnętrznym wykonawcą audyt bezpieczeństwa tej witryny. Nie mieliśmy do tej pory żadnej potwierdzonej informacji o zainfekowaniu jakiegokolwiek komputera poprzez witrynę Urzędu. Jeżeli jest  Pan w posiadaniu takich informacji, uprzejmie prosimy o przekazanie ich do Biura Informatyki Urzędu na adres poczty elektronicznej [wyciety by nie generować spamu] wraz z podaniem szczegółów zdarzenia. Dziękujemy za przekazanie informacji technicznych, które zostaną wykorzystane w trakcie prowadzonego audytu.

 Komunikat tej treści został nadesłany do Z3S jako odpowiedź na ich zapytanie w sprawie ewidentnego ataku, jaki strona oferuje odwiedzającym - siejącym infekcję ransomware jest rządowa witryna Urzędu Rejestracji Produktów Leczniczych i póki co atak ma się wciąż dobrze. Nie wiadomo czy śmiać się, czy płakać?...co robią nasze służby i odpowiedzialni za infrastrukturę pracownicy?...jak długo jeszcze będziemy się ośmieszać?
Całość poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

[Tajny Współpracownik]

Rozwiązanie jest proste: siedzieć w domu i komputera nie ruszać .

[M'cin]

Masz tablet z windą, przegrałeś...

[Tajny Współpracownik]

Nie mam! Przez tego bad pixela oddałem go pod pretekstem odstąpienia od umowy. Hajs oddali, a za ten piniondz kupiłem sobie buty i rekina.

[M'cin]

Rekina?

[Tajny Współpracownik]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Quassar]

no lol....

[M'cin]

Na jedzenie byś wydal a nie... ;P

[Tajny Współpracownik]

( ͡° ͜ʖ ͡°) heh dobry troll

[Tajny Współpracownik]

Bankier.pl zapytał biura prasowe polskich banków o informacje na temat tychże włamań.

Bank Pekao, BOŚ, Alior Bank, Bank Zachodni WBK i Plus Bank - nie odpowiedziały na zapytanie o skutki oraz wprowadzone środki bezpieczeństwa.
mBank - kategorycznie odmówił odpowiedzi.
PKO BP - nie odpowiedział zasadniczo na postawione pytanie, ale podał uspokajający komunikat o stałym monitorowaniu systemów.
Credit Agricole, Bank BGŻ BNP Paribas, Bank Millennium oraz Banku Pocztowy i Getin Bank - podobny komunikat uspokajający.
ING Bank Śląski - oficjalnie poinformowali, że nie zostali zaatakowani.
Raiffeisen Polbank - nie wykryto intruza.
Nest Bank - to stosunkowo nowa instytucja, następca Smart Banku. Jako jedyni przyznali o wykryciu na dwóch stacjach roboczych nieznanego złośliwego oprogramowania, ale nie doszło do zainfekowania intranetu.

[Aby zobaczyć linki, zarejestruj się tutaj]

Generalnie panuje blokada informacyjna, co zresztą nie dziwi. Pytanie tylko, czy "wszystko jest w porządku" ma swoje odwzorowanie w rzeczywistości.

[rogacz]

ING to mnie nie dziwi że nie zostali zaatakowani, pamiętam kiedyś co mi PeerGuardian pokazywał jak się logowałem na konto w tym banku

[ichito]

Nie ma szans, żeby było w porządku...nie uwierzę w zapewnienia zwłaszcza, kiedy ma się pamięci informacje sprzed 3-4 lat, kiedy z wyników ankiet wśród instytucji finansowych wynikało, że jakoś 40% niespecjalnie się o cyberbezpieczeństwo troszczy...to znaczy oficjalnie tak, ale rzeczywistość niestety skrzeczy.
To był tego rodzaju atak, że do tej pory jest analizowany i komentowany, bo nie tylko był częścią szerszej akcji, ale interesujące są źródła czyli Korea Pn. i rządowi hakerzy, którzy w ten sposób m.in. zdobywają pieniądze dla reżimu. Oni nie cofną się przed niczym, jak wszystkie dyktatury zresztą.
Myślę, że oliwy do ognia dolewa tu też raport PGS Software pt. „Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce”

[Aby zobaczyć linki, zarejestruj się tutaj]

który został opisany i podany w formie kwintesencji na Niebezpieczniku

[Aby zobaczyć linki, zarejestruj się tutaj]

Póki co wciąż jestem więc za bankowością tradycyjna, a jeśli już online to nie ze smartfona, ale z możliwie bezpiecznego laptoka.
Warto pewnie będzie poczekać na zapowiadany przez aleBank.pl na kwiecień raport specjalny pt. "Bezpieczeństwo w banku"...może wtedy coś ciekawego się pokaże.

[Tajny Współpracownik]

Póki co wciąż jestem więc za bankowością tradycyjna

Musisz sporo wydawać na prowizje z tytułu dokonywania przelewów w oddziale. Brrrrr.