Poważny atak hakerski na polski sektor bankowy

Polski sektor bankowy od kilku dni walczy z niebezpiecznymi hakerami. Jak informuje portal zaufanatrzeciastrona.pl,  nieznanym cyberprzestępcom udało się uzyskać dostęp do stacji roboczych i serwerów kilku bankach i wykraść dane. Oprócz serwerów zainfekowane zostały także komputery pracowników. Prawdopodobnie wszystko zaczęło się od zainfekowania witryny Komisji Nadzoru Finansowego (www.knf.gov.pl).

Według serwisu zaufanatrzeciastrona.pl wszystko wskazuje na to, że jest to najpoważniejszy z ujawnionych do tej pory ataków na polski sektor bankowy i infrastrukturę krytyczną. W ciągu kilku ostatnich dni kilka z działających w Polsce banków stwierdziło, że w ich sieciach zainstalowane zostało złośliwe oprogramowanie bardzo zaawansowane technicznie, którego nie znały stosowane przez banki programy antywirusowe. Hakerzy mogli przez nikogo nie niepokojeni atakować wewnętrzne sieci banków, co trwało od co najmniej kilku tygodni, a w niektórych przypadkach miesięcy.

Specjaliści od zabezpieczeń bankowych sprawdzają teraz dokładnie wszystkie bankowe komputery, serwery i rejestry ruchu sieciowego.

Kilka dni temu, jak pisze zaufanatrzeciastrona.pl, w wewnętrznym systemie międzybankowym SWOZ (System Wymiany Ostrzeżeń o Zagrożeniach) zamieszczono informacje o tym, jak rozpoznawać symptomy infekcji. Informacja ta to duża lista obejmująca sporą liczbę adresów IP, z których korzystało złośliwe oprogramowanie, a także krótki opis techniczny jak ów wirus działa. 

Czytaj także: MSZ na celowniku hakerów z Fancy Bear

Są uzasadnione podejrzenia, że pierwotnym sposobem ataku było złośliwe oprogramowanie, jakie hakerzy umieścili na serwerze jednej z państwowych instytucji, a które od października ubiegłego roku infekowało tylko komputery wybranych użytkowników, w tym pracowników banków.

Istnieje podejrzenie, że pierwotnie hakerzy zainfekowali witrynę Komisji Nadzoru Finansowego (www.knf.gov.pl), która w czwartek 2 lutego zniknęła z sieci, by po dłuższej chwili powrócić z komunikatem: „Na stronie prowadzone są prace serwisowe. Przepraszamy za utrudnienia”.

Narzędzia użyte przez cyberprzestępców charakteryzuje wysoki poziom zaawansowania technicznego i duża złożoność, zaś wykrycie i analiza ataku są bardzo trudne. Okazało się bowiem, że żaden program antywirusowy nie jest w stanie wykryć większości składników tego oprogramowania. Użyte przez hakerów narzędzia komunikowały się z zewnętrznymi serwerami, które zlokalizowano w egzotycznych krajach, co służyć miało jako jedna z wielu warstw ukrywających prawdziwą lokalizację miejsca, z którego sterowano złośliwym oprogramowaniem. Mechanizmy ciągłej rejestracji ruchu internetowego, jakie stosuje wiele banków, były wprawdzie w stanie stwierdzić, że padły ofiarami infekcji. Jednak niestety w większości przypadków systemy bezpieczeństwa nie pozwalają na ustalenie dokładnego celu hakerskich działań.

Jak do tej pory, nie ma żadnych informacji o powiązanych z tymi atakami kradzieżach środków z rachunków bankowych lub nieudanych próbach kradzieży. Istnieje zatem prawdopodobieństwo, że nie chodziło o kradzież pieniędzy z kont klientów banków, a o kradzież informacji. Co najmniej jeden przypadek wskazuje, według serwisu zaufanatrzeciastrona.pl, że dużą ilość danych przesłano z bankowej sieci na zewnętrzne serwery. Z uwagi jednak na fakt, że dane te zostały zaszyfrowane, bardzo trudno jest ustalić, co interesowało hakerów.

Czytaj także: Fancy Bear złamała zabezpieczenia angielskiej telewizji

Sposób przeprowadzenia tego cyberataku, jego skala oraz poziom zaawansowania narzędzi jakich użyto, może sugerować, że ataku dokonała albo wysoko wyspecjalizowana grupa przestępcza, albo wywiad obcego państwa. Znalezione w oprogramowaniu ślady oraz analiza ruchu sieciowego wskazują różne państwa, jednak niemożliwe jest na tej podstawie przypisanie odpowiedzialności komuś konkretnemu.

Istnieje prawdopodobieństwo, że cyberataku na polskie banki za pomocą zhakowanej strony Komisji Nadzoru Finansowego, dokonała ta sama grupa cyberprzestępców, która dokonała ataku na polskie Ministerstwo Spraw Zagranicznych, o czym pisaliśmy już w CyberDefence24.pl. W MSZ wykorzystano błąd w programie Adobe Flash Player. Ponadto hakerzy poprawili jakość wykorzystywanego przez siebie wcześniej konia trojańskiego, aby zajmował mniej miejsca i łatwiej się instalował. MSZ potwierdził, że był to atak trudny do wykrycia, a sprawę komplikował fakt, że został on przeprowadzony z użyciem serwera Ministerstwa Spraw Zagranicznych jednego z krajów Ameryki Łacińskiej. Hakerzy wcześniej uzyskali dostęp do wspomnianego serwera, by wykorzystać go do uwiarygodnienia się przed polskimi urzędnikami. Według specjalistów z firmy Prevenity oraz polskiego MSZ, bez wątpienia za atakiem stał zespół APT28, znany też pod pseudonimami Sofacy i Fancy Bear, aktualnie najbardziej znana grupa hakerska.

Komentarze