Ekspert: Atak na KNF skoordynowany i bardzo dobrze zaplanowany

Poniedziałek, 06 Lutego 2017, 15:30 Cyber Bezpieczny_telefon

Atak na KNF był zaawansowany i doskonale skoordynowany. Istnieje duże prawdopodobieństwo, że prowadzony był przez długi okres czasu. Jego celem mogły być dane osobowe lub finansowe, które na czarnym rynku osiągają wysokie ceny - VP, Rapid Detection Center w firmie F-Secure.

Atak na KNF wyglądał na bardzo zaawansowany i skoordynowany, a jego skala to najbardziej interesująca część. Można przypuszczać, że jego wektorem był popularnie używany komponent, jak np. przeglądarka internetowa, dokument w formacie .pdf, system operacyjny lub podatne urządzenie z infrastruktury sieciowej. Przede wszystkim interesujące jest to, czy organizacje odkryły atak w tym samym czasie (i w jaki sposób) oraz od jak dawna był on prowadzony.

Możliwe, że był on przeprowadzany w sposób skoordynowany, a na skutek błędu lub nieostrożności "wypłynął" w jednej organizacji, która zaalarmowała pozostałe. Najbardziej skuteczne i zaawansowane ataki trwają latami, są odpowiednio zakamuflowane i nie zostawiają (łatwych do odkrycia) śladów. Istotnym pytaniem jest to, jak banki dowiedziały się o ataku, ponieważ jego sposób wykrycia może powiedzieć bardzo wiele o jego dynamice i wektorach.

Celem ataku mogą być dane osobowe czy finansowe. One są cenne. Na czarnym rynku tego typu rekordy mają konkretną cenę. Skoro nie mamy informacji, że zginęły pieniądze to nasuwają się dwie możliwości: albo przestępcy nie zdążyli dojść do tej fazy ataku, co jest mało prawdopodobne, albo zainteresowani byli danymi, a nie pieniędzmi. Dane (wrażliwe, osobowe, finansowe) mają wartość pieniężną, ale jeszcze ciekawsze mogą być dla instytucji wywiadowczych, więc ta opcja jest możliwa zwłaszcza biorąc pod uwagę skalę operacji i prawdopodobnie związane z nim koszty.

Celem ataku była witryna Komisji Nadzoru Finansowego. Zazwyczaj witryny są hostowane zupełnie osobno od ważnych danych. To dobra praktyka. Co prawda atak na stronę jest zawsze nagłaśniany i spektakularny, ale praktyczny rezultat jest (poza naruszonym wizerunkiem) niewielki.

Jeśli rzeczywiście źródłem infekcji była strona KNF, to może również oznaczać, że mamy do czynienia z powszechnym (ale niewykrywanym przez oprogramowanie ochronne) złośliwym oprogramowaniem, które zupełnie przypadkiem, ze względu na specyfikę serwera KNF, zainfekowało komputery w bankach. To jednak optymistyczny scenariusz. Należałoby przeanalizować dokładnie logi ruchu sieciowego z zainfekowanych systemów, żeby zobaczyć, jakie aktywności to złośliwe oprogramowanie podejmowało i na ile było specyficzne.

Stuprocentowa ochrona nie jest możliwa. Ważne jest wyczulenie pracowników tych instytucji na kwestie bezpieczeństwa (higiena i wykrywanie podejrzanych sytuacji). Niezmiernie ważne są też testy penetracyjne oraz wielopoziomowe systemy wykrywania zdarzeń, które są aktywnie monitorowane.

Leszek Tasiemski, VP, Rapid Detection Center w firmie F-Secure.



Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz

7 komentarzy

. Dzisiaj, 22 Lutego, 8:31
jakoś konkretów nie przeczytałem, tylko same domysły.
praktyk Wtorek, 07 Lutego 2017, 11:02
Winnych szukałbym w Izraelu lub USA...
TowariszczJacho Środa, 08 Lutego 2017, 9:48
A jest jakaś różnica ?
MK Wtorek, 07 Lutego 2017, 23:36
ciekawe spostrzeżenie:) do tej pory tylko jedno państwo dopuściło się cyberataków na demokratyczne kraje
McKey Poniedziałek, 06 Lutego 2017, 23:57
Nie można tak od razu wypowiadać się na temat wektorów tego ataku, to mogła być akcja koordynowana, albo i nie. Domeny uczestniczące w komunikacji np. tworzone były 3-4 dni wstecz. Brak pełnej analizy rewersyjnej po pierwsze jest utrudniony, po drugie jest sporo "trash data" w tym wszystkim (bo np. pojawiają się dodatkowe maile z załącznikami w obfuskowanym .js z zaszytymi pobierakami) i... atak był, ale 100% jego analiza jest praktycznie na teraz "mission impossible".
antro Poniedziałek, 06 Lutego 2017, 19:21
albo to:Atak na KNF był zaawansowany i doskonale skoordynowany.

a potem:
Możliwe, że był on przeprowadzany w sposób skoordynowany, a na skutek błędu lub nieostrożności "wypłynął" w jednej organizacji, która zaalarmowała pozostałe.

expert... wie czy może wie?
Doktor_Plama Poniedziałek, 06 Lutego 2017, 16:52
To atak był "zaawansowany i doskonale zorganizowany" a jednocześnie zaatakowano witrynę, a nie bazę danych, czyli cel zupełnie bezwartościowy? Przepraszam, ale czy jedno nie wyklucza drugiego? Trochę dziwna ta analiza eksperta.