Ten artykuł czytasz w ramach bezpłatnego limitu

Ale nie tylko tam. Celem atakujących były także instytucje finansowe spoza Polski. Przestępcy czaili się też na m.in. na Urząd Miasta Warszawy oraz osoby korzystające z łączy największych operatorów…

“Afera” miała rozpocząć się od incydentu, jaki w swojej sieci zidentyfikował jeden z mniejszych w Polsce banków, który w kontekście różnych wpadek pojawiał się już wielokrotnie na łamach prasy. Klienci tego banku donosili nam w ostatnim czasie o pewnych nowych problemach, ale nie mieliśmy powodów, by łączyć je ze sobą oraz z tym, co dzieje się w innych instytucjach. Jednak zdarzenia opisywane przez klientów sugerowały, że w tym banku dzieją się naprawdę dziwne rzeczy.

„Mamy problem, pomóżcie!”

Być może z tego powodu bank ten zwrócił się o pomoc do kolegów „z branży”, a ci — jak to zazwyczaj bywa — zaczęli szukać śladów podobnych incydentów w swoich sieciach. Wtedy okazało się, że podobne w działaniu złośliwe oprogramowanie znajduje się także w ich sieciach.

Niech was nie zmyli, że współpracę banków i informacje między nimi opisaliśmy w dwóch zdaniach. W rzeczywistości była to długa droga przez mękę. Instytucje finansowe niechętnie dzielą się danymi. Ten opór generuje zrozumiałe opóźnienia w ustalaniu szczegółów incydentów dotykających więcej niż jeden bank, nie mówiąc już o sytuacji, w której poszkodowanych jest kilkanaście instytucji finansowych. Bo problem dotyczył także ubezpieczycieli i firm spoza tego sektora. Na szczęście poza oficjalnym stanowiskiem zarządów banków, osoby na stanowiskach technicznych znają się między sobą i nieoficjalnie w ostatnich tygodniach bardzo często się ze sobą kontaktowały, wymieniając informacje, które w oficjalnej komunikacji zapewne nigdy nie mogłyby zostać pomiędzy bankami udostępnione.

Oficjalnie polskie banki wymieniają się komunikatami bezpieczeństwa przez System Wymiany Ostrzeżeń o Zagrożeniach (SWOZ). To właśnie w ramach tego systemu po pierwszych analizach pojawiły się raporty od niektórych banków. Jeden z pierwszych komunikatów nadał, już 1 lutego, zespół CERT z Banku PKO. W komunikacie, który nosił tytuł „Kampania złośliwego oprogramowania” i któremu przyznano poziom TLP:AMBER, napisano:

W związku z rozpoznanym zagrożeniem, którego celem są infrastruktury polskich banków, przeprowadzona została wstępna analiza pozyskanych próbek (…) Wektor infekcji: Z pozyskanych informacji z zewnętrznych źródeł danych o incydentach oraz z obserwacji ruchu sieciowego w październiku 2016 wnioskujemy, że źródłem infekcji przedmiotowym zagrożeniem była domena www.eye-watch.in. Rozpoznano, że infekcja wynikała z przekierowania umieszczonego na jednym z polskich portali odwiedzanych przez pracowników sektora finansowego. Oryginalnej próbki droppera nie udało się pozyskać. Aktualnie domena nie jest rozpoznawana jako złośliwa.

Swoją analizę udostępnił też innym bankom zespół reagowania na incydenty w Raiffeisen. Dodatkowo, w piątek 3 lutego w sprawie ataków odbyło się spotkanie z organami ścigania, a w sobotę 6 lutego spotkanie w Związku Banków Polskich. Sprawa jest więc rozwojowa, ale już teraz posiadamy pewne sprawdzone w niezależnych źródłach informacje, które dość dobrze opisują, jak przebiegał atak.

Zobacz: Prywatności w internecie nie ma - w 3x3 ostrzega ekspertka Helsińskiej Fundacji Praw Człowieka

Spokojnie, to jeszcze nic nie znaczy

Zanim jednak do jego opisu przejdziemy, musimy poczynić dwie ważne uwagi wstępne, aby nikt nie odniósł mylnego wrażenia po lekturze naszego artykułu.

Po pierwsze - bez paniki! Nie ma żadnych dowodów na to, że jakiekolwiek środki finansowe klientów jakiegokolwiek banku są czy też były zagrożone. Nie musicie chować pieniędzy do skarpety. Większość polskich banków, co zresztą pokazuje niniejszy incydent, dysponuje specjalistami na najwyższym poziomie technicznym i wierzcie nam, że żaden z banków nie ignoruje nawet najmniejszych przesłanek związanych z niniejszym atakiem.

Trwają burzliwe narady i każdemu zależy na jak najszybszym zrozumieniu i wyjaśnieniu incydentu. Zależy na tym wszystkim bankom, nawet tym, które nie znalazły śladów złośliwego oprogramowania wykorzystanego do tego ataku w swojej sieci.

Po drugie - ataki na banki to nic nowego. Infekcje złośliwym oprogramowaniem stacji roboczych pracowników banków, podobnie jak każdej innej organizacji, są na porządku dziennym. Wykrywa się je i obsługuje. Nie istnieje bank, którego stacja robocza nigdy nie została zainfekowana jakimś złośliwym oprogramowaniem (a jeśli któryś tak twierdzi, to kłamie). Znalezienie przez bank złośliwego oprogramowania na swoich komputerach to nie powód do postrzegania banku w złym świetle.

Takie infekcje są nieuniknione — dlatego w bankach wdrożonych zostało wiele różnych warstw systemów monitoringu i wygrywania oraz ochrony przed włamaniami, które są w większości zarządzane przez najbardziej kompetentnych ludzi na rynku. Dzięki temu w ogóle banki, w przeciwieństwie do innych firm, dysponują informacjami dotyczącymi incydentów: mają logi, mają SIEM-y, mają laboratoria, w których mogą odtwarzać infekcje i analizować próbki. Inne organizacje nie zawsze są tak dobrze przygotowane. Jeśli więc jakiś atak spotka banki, można mieć pewność, że zostanie precyzyjnie przeanalizowany.

Jak przebiegał atak

Nikt z naszych informatorów ani osób analizujących incydent nie ma 100 proc. pewności co do źródła ataku. Wszystko wskazuje na to, że źródeł mogło być wiele. Nie tylko KNF. Niektórzy jednak, na podstawie kilku przesłanek (o tym później) łączą znalezione w polskich bankach złośliwe oprogramowanie z włamaniem na stronę Komisji Nadzoru Finansowego. Co tam się stało? Atakujący wykorzystali dziurę w serwerze JBOSS i do jednej z bibliotek JavaScript, osadzonej na podstronie KNF, wedle raportów, jakie widzieliśmy, 7 października 2016 roku wstrzyknęli złośliwy kod.

To tzw. technika wodopoju. Celem nie było samo KNF, ale ściśle wyselekcjonowane osoby, które odwiedzają konkretne obszary strony internetowej tej instytucji. Dzięki temu atakujący nie musi docierać do danej, wąskiej, wyspecjalizowanej grupy ofiar, która go interesuje, lecz po prostu czeka, aż te ofiary same z siebie odwiedzą coś, co jest dla danej grupy istotne (tu: strona KNF).

Jeśli ktoś wchodził na podstronę KNF, wstrzyknięty przez atakujących kod sprawdzał IP gościa i gdy znajdował się on w "puli klas adresowych celów do ataku", następowało przekierowanie ofiary na stronę, która próbowała atakować przeglądarkę internauty. Atakujący korzystali z exploitów [programów wykorzystujących dziury w oprogramowaniu] na wtyczki (Silverlight i Flash) — dlatego tak ważne jest, aby wyłączyć niewykorzystywane wtyczki w przeglądarce.

Choć złośliwe oprogramowanie było unikatowe, stworzone i skonfigurowane pod tę konkretną kampanię, to atakujący nie wykorzystywali do infekcji 0day’ów [nieznanych dotąd szerzej dziur w oprogramowaniu] - a przynajmniej na razie nie odnaleziono żadnego śladu nieznanych podatności. Po zainfekowaniu trojan wstrzykiwał się w procesy systemowe i poprzez DDNS kontaktował z różnymi adresami IP (różnymi dla różnych ofiar). Z tych IP mógł pobierać dodatkowe instrukcje "co robić" i na te IP wyprowadzał wykradzione i uprzednio zaszyfrowane dane.

Do momentu publikacji nie udało nam się pozyskać informacji potwierdzającej, że którykolwiek z banków, który wykrył trojana w swojej sieci, był w 100 proc. pewien, że wirus przyszedł do niego ze strony KNF. Źródeł ataku może być wiele, a sprawa KNF nie musi być wprost połączona z atakami na polskie banki - choć takie dowody podobno miały się pojawić. My nie byliśmy w stanie ich niezależnie potwierdzić.

KNF od dawna miała sygnał, że atakuje internautów

Jak wynika z naszych informacji, KNF był informowany jeszcze w poprzednim roku o tym, że ich serwis infekuje internautów. Niestety, pomimo chęci, jego pracownicy nie byli w stanie zidentyfikować miejsca infekcji. Przekazywane im informacje nie były bowiem precyzyjne. Osoby dysponujące tymi samymi informacjami co przekazane KNF też nie były w stanie na stronach serwisu KNF znaleźć miejsca infekcji. Ciężko więc mieć do KNF żal czy oskarżać o całkowity brak reakcji. Złośliwy kod namierzono dopiero, gdy afera "ataku na polskie banki" rozkręciła się mocniej w zeszłym tygodniu. Tak wyglądała strona KNF 2 lutego:

KNFKNF KNF

Później serwis wyłączono ze względu na zabezpieczanie materiału dowodowego:

KNFKNF KNF

3 lutego na pytania o atak KNF odpowiedział:

W Urzędzie Komisji Nadzoru Finansowego zidentyfikowana została próba ingerencji z zewnątrz w system informatyczny obsługujący stronę internetową www.knf.gov.pl. Wewnętrzne systemy raportowania przez podmioty nadzorowane funkcjonują niezależnie od systemu informatycznego obsługującego stronę internetową i pozostają bezpieczne. Prace Urzędu przebiegają w sposób niezakłócony. W sprawie tej zostało złożone zawiadomienie do właściwych organów ścigania, z którymi Urząd ściśle współpracuje. Strona internetowa www.knf.gov.pl została wyłączona przez administratorów z UKNF w celu zabezpieczenia materiału dowodowego. Urząd pozostaje w bieżącym kontakcie z przedstawicielami nadzorowanych sektorów, w tym bankowego, których działalność nie jest w żadnym stopniu zagrożona.

Choć KNF-owi nie można zarzucić zignorowania informacji o ataku, to zdecydowanie pstryczek w nos należy się za pierwsze zdanie oświadczenia. KNF pisze o "próbie ingerencji z zewnątrz", sugerując, że do niczego nie doszło. Widać, że bardzo doszło i KNF doskonale o tym wie.

KNF "atakował" nie tylko polskie banki

Wedle źródeł związanych z analizą incydentu na stronach KNF, wiemy że od grudnia znajdujący się na tej stronie jeden z wariantów złośliwego kodu nie atakował polskich hostów, lecz jedynie cele z zagranicy. Polskich banków nie było w puli ofiar. Możliwe że “już nie było”, bo atakujący - wiedząc iż skutecznie zaatakowali daną instytucję - zdejmowali jej adresy IP z puli hostów przeznaczonych do zainfekowania.

Co ciekawe, złośliwe oprogramowanie łączone z atakami na polskie banki znaleziono także w tych bankach, które nie były w puli do ataku. A więc atak na polskie banki mógł także pochodzić z innego niż KNF źródła. A żeby było jeszcze ciekawiej, bardzo podobną technikę ataku zastosowano na meksykańskim odpowiedniku KNF. Tam także nastąpiło włamanie na stronę regulatora i infekcja wybranych celów tymi samymi exploitami.

Kto stoi za atakiem?

Tego nie wiadomo. Wykorzystane oprogramowanie jest jednak bardzo podobne do tego, które wykorzystano w ataku na system SWIFT w 2016, w wyniku którego zniknęło 81 mln dolarów. To wiemy od osób, które widziały próbki z obu ataków. Niezależnie, taką samą wersję sugeruje jedna z firm antywirusowych. Wedle naszych informacji miała ona powiadomić jeden z polskich banków, że znalezione u niego złośliwe oprogramowanie jest powiązane z grupą odpowiedzialną za ataki na SWIFT, której to grupie firma antywirusowa bacznie się przygląda.

Niektórzy przywołują tu przypadek banku w Bangladeszu (choć ta sama grupa była odpowiedzialna także za ataki na inne banki). Warto jednak poczynić w tym miejscu pewną dygresję.

Otóż pewne zbieżności co do sposobu działania złośliwego oprogramowania wcale nie oznaczają, że za atakiem stoi ta sama grupa. Kod złośliwego oprogramowania lub pewnych modułów często jest tworzony niezależnie i sprzedawany do kilku niezależnych odbiorców. Podobnie jest z adresami IP wykorzystywanymi do zarządzania lub infiltracji danych. Dlatego też na podstawie tego, że większość z nich znajduje się w przypadku tego ataku w Azji, nie odważymy się wskazać źródła ataku. Jedno jest pewne — w przypadku ataków na SWIFT jasne były cele: chodziło o pieniądze.

Co było celem ataku?

W przypadku ataków na polskie banki, wedle zdobytych przez nas danych, żadne środki finansowe nie zostały wyprowadzone. I znów, nie oznacza to, że to nie było celem przestępców. Może po prostu banki zareagowały wcześniej, niż przestępcy przystąpili do akcji? Po infekcji organizacji trzeba “rozejrzeć” się po sieci i zdobyć dostępy do serwerów. To jest proces ryzykowny (przestępcy zwiększają szanse na wykrycie ataku przez bankowe systemy monitoringu), długotrwały, ale konieczny. Bez eskalacji ataku, stosowane w większości banków w większości przypadków obostrzenia, w bardzo niewielu przypadkach pozwalają na bezpośrednie dokonanie jakiejkolwiek malwersacji finansowej z poziomu zwyczajnej stacji roboczej "byle pracownika”. Przestępcy muszą zidentyfikować i zrozumieć procesy transferów pieniędzy oraz akceptowania płatności, a także zrozumieć, kto bierze w nim udział i przejąć uprawnienia tych osób.

Czy rzeczywiście celem atakujących była gotówka. Ze względu na duży transfer danych wychodzących z jednego z banków pojawiła się sugestia, że celem ataku nie były pieniądze, ale wyprowadzenie informacji. Zastanówmy się jednak, jakich i czy bank jest najlepszym miejscem na ich pozyskanie. Banki dysponują dwoma typami naszych danych: danymi osobowymi i finansowymi.

Te pierwsze mają także inne instytucje, np. operatorzy, którzy są łatwiejszym celem. Operatorów telefonii komórkowej jest mniej niż banków, a zatem łatwiej też te dane pozyskać od nich. I nawet nie na drodze włamania, ale po prostu zwyczajnie zatrudniając się na najniższym stanowisku konsultanta. Nie mówiąc już o tym, że dane obywateli, nawet bardziej szczegółowe niż te, którymi dysponują banki, pozyskać można także z innych źródeł.

Jeśli więc założymy, że chodzi o dane finansowe (ale nie pieniądze!), to zachodzi pytanie: do czego można je wykorzystać? Kogo interesuje to, ile zarabia statystyczny Kowalski? Albo za co płaci kartą? Gdyby celem ataku miał być ten czy inny duży przedsiębiorca lub firma, to znów łatwiej jest pozyskać te dane w ataku bezpośrednim na ten cel, a nie poprzez “strzelanie” do wszystkich banków w danym kraju. Ciekawa z punktu widzenia przestępców może być historia kredytowa poszczególnych klientów banku. Na jej podstawie można zrobić "klona” tożsamości i wyłudzać kredyty-chwilówki. Ale przy tym trzeba się napracować, atak zajmuje trochę czasu i generuje raczej niewielkie wpływy (atrakcyjnych kwotowo kredytów mieszkaniowych nie da się wyłudzać na masową skalę przez internet). Szkoda zabawy, lepiej rozesłać fale e-maili z zainfekowanym załącznikiem udającym awizo kuriera - mniej pracy, a zwrot z inwestycji taki sam. Lub zainfekować albo przekupić/zrekrutować pracownika banku w sieci Tor.

Grupa przestępców czy obcy wywiad?

Bazując na powyższym, można więc sądzić, że za atakiem nie stoi żaden obcy wywiad, którego celem jest zdobywanie informacji o Polakach, ale grupa (nie wiadomo z kogo się składająca) szukająca przede wszystkim zysku finansowego, czerpanego bezpośrednio z systemów bankowych (nie przez ataki na klientów bankowości). Atak na system SWIFT pokazał, że da się atakować banki i z powodzeniem kraść z nich duże kwoty w powtarzalny sposób. Problem w tym, że w przypadku ataku na polskie banki zebrany materiał dowodowy na razie nie potwierdza, żeby taki był cel atakujących. Być może (na szczęście!) przestępcy nie zdążyli zorientować się, jak dokonać defraudacji, zanim zostali wykryci i odcięci przez reakcje bankowych bezpieczników.

Generalnie atakowanie banków to nie jest najlepszy pomysł — w tym sektorze w Polsce pracują najlepsi specjaliści, którzy, jak widać, są w stanie wykrywać i całkiem sprawnie reagować na ataki.

Tu mała refleksja. Gdyby nam ktoś postawił za cel szybkie obrobienie “polskich instytucji finansowych”, uderzylibyśmy w bankomaty. Jest wiele bankomatów w różnych miejscach (daje to rozproszenie ataku i jego zrównoleglenie) - w tej samej chwili można z kilkuset bankomatów wyciągnąć po kilkanaście tysięcy i rozpłynąć się we mgle.

Sposobów na wyprowadzenie gotówki jest wiele. Od modyfikacji sald (po stronie banków) po rekonfiguracje mechanizmów związanych z oprogramowaniem w samym bankomacie. Nieraz przestępcy wykorzystywali ten drugi sposób. Zresztą nie wszystkie wprowadzane przez operatorów bankomatów rozwiązania do “szybkiego transferu gotówki” są bezpiecznie zaimplementowane. A jak dodamy do tego fakt, iż operator może zdalnie tak przekonfigurować bankomat, żeby ułatwić osobie stojącej przy nim defraudację środków, to sieć bankomatowa naprawdę staje się atrakcyjnym celem. I tu refleksję kończymy, bo dowodów na taki sposób myślenia przestępców w ataku na polskie banki nie ma.

Kształcące doświadczenie dla branży

Wszystko wskazuje na to, że mamy do czynienia z przerwanym atakiem, z bardzo ograniczonymi negatywnymi skutkami. Co ciekawe, wedle operatorów łączy, ruch z Polski do adresów IP, z których korzystało złośliwe oprogramowanie wykorzystane do ataku, jest bardzo minimalny. Na razie pewne jest, że tylko z jednego, małego banku w Polsce wyprowadzono jakieś dane oraz że celem przestępców nie byli tylko i wyłącznie Polacy, ani nawet tylko organizacje finansowe (choć instytucji z innego sektora jest niewiele). Z racji właśnie tej mnogości celów zdefiniowanych na liście “klas adresowych do ataku” i faktu, że są to głównie instytucje finansowe, za atakiem raczej nie stoją służby innych krajów. Ten atak nie pełni funkcji wywiadowczej, brakuje mu też charakterystycznych dla tego typu działań ograniczeń i technik.

Trochę smutne jest to, że atak był po części możliwy dzięki temu, że - paradoksalnie - rekomendacje i restrykcje mające na celu podniesienie bezpieczeństwa systemów bankowych, jakie na banki nakłada KNF, nie dotyczą jej samej. Bo dziura w JBOSS to coś, co nie powinno się zdarzyć — każdy wie, że oprogramowanie należy aktualizować. Niepokojące jest także to, że KNF było nośnikiem infekcji od 6 października, do 2 lutego, czyli przez cztery miesiące nie zauważyło, że ma zmodyfikowany plik na webserwerze i przekierowuje swoich gości na złośliwe strony internetowe, choć go szukało.

Autorami artykułu są pracownicy firmy Niebezpiecznik, która szkoli programistów i administratorów w zakresie bezpieczeństwa IT i... włamuje się na serwery (za zgodą) polskich firm w celu namierzenia błędów bezpieczeństwa w ich sieciach i aplikacjach - zanim zrobią to prawdziwi włamywacze. Więcej informacji o bezpieczeństwie w sieci i nie tylko na: niebezpiecznik.pl

Czytaj ten tekst i setki innych dzięki prenumeracie

Wybierz prenumeratę, by czytać to, co Cię ciekawi

Wyborcza.pl to zawsze sprawdzone informacje, szczere wywiady, zaskakujące reportaże i porady ekspertów w sprawach, którymi żyjemy na co dzień. Do tego magazyny o książkach, historii i teksty z mediów europejskich. Zrezygnować możesz w każdej chwili.