Ekspert: Atak na KNF skoordynowany i bardzo dobrze zaplanowany

6 lutego 2017, 16:30
Cyber Bezpieczny_telefon
Fot. ervins_strauhmanis / Flickr.com

Atak na KNF był zaawansowany i doskonale skoordynowany. Istnieje duże prawdopodobieństwo, że prowadzony był przez długi okres czasu. Jego celem mogły być dane osobowe lub finansowe, które na czarnym rynku osiągają wysokie ceny - Leszek Tasiemski VP, Rapid Detection Center w firmie F-Secure.

Atak na KNF wyglądał na bardzo zaawansowany i skoordynowany, a jego skala to najbardziej interesująca część. Można przypuszczać, że jego wektorem był popularnie używany komponent, jak np. przeglądarka internetowa, dokument w formacie .pdf, system operacyjny lub podatne urządzenie z infrastruktury sieciowej. Przede wszystkim interesujące jest to, czy organizacje odkryły atak w tym samym czasie (i w jaki sposób) oraz od jak dawna był on prowadzony.

Możliwe, że był on przeprowadzany w sposób skoordynowany, a na skutek błędu lub nieostrożności "wypłynął" w jednej organizacji, która zaalarmowała pozostałe. Najbardziej skuteczne i zaawansowane ataki trwają latami, są odpowiednio zakamuflowane i nie zostawiają (łatwych do odkrycia) śladów. Istotnym pytaniem jest to, jak banki dowiedziały się o ataku, ponieważ jego sposób wykrycia może powiedzieć bardzo wiele o jego dynamice i wektorach.

Celem ataku mogą być dane osobowe czy finansowe. One są cenne. Na czarnym rynku tego typu rekordy mają konkretną cenę. Skoro nie mamy informacji, że zginęły pieniądze to nasuwają się dwie możliwości: albo przestępcy nie zdążyli dojść do tej fazy ataku, co jest mało prawdopodobne, albo zainteresowani byli danymi, a nie pieniędzmi. Dane (wrażliwe, osobowe, finansowe) mają wartość pieniężną, ale jeszcze ciekawsze mogą być dla instytucji wywiadowczych, więc ta opcja jest możliwa zwłaszcza biorąc pod uwagę skalę operacji i prawdopodobnie związane z nim koszty.

Celem ataku była witryna Komisji Nadzoru Finansowego. Zazwyczaj witryny są hostowane zupełnie osobno od ważnych danych. To dobra praktyka. Co prawda atak na stronę jest zawsze nagłaśniany i spektakularny, ale praktyczny rezultat jest (poza naruszonym wizerunkiem) niewielki.

Jeśli rzeczywiście źródłem infekcji była strona KNF, to może również oznaczać, że mamy do czynienia z powszechnym (ale niewykrywanym przez oprogramowanie ochronne) złośliwym oprogramowaniem, które zupełnie przypadkiem, ze względu na specyfikę serwera KNF, zainfekowało komputery w bankach. To jednak optymistyczny scenariusz. Należałoby przeanalizować dokładnie logi ruchu sieciowego z zainfekowanych systemów, żeby zobaczyć, jakie aktywności to złośliwe oprogramowanie podejmowało i na ile było specyficzne.

Stuprocentowa ochrona nie jest możliwa. Ważne jest wyczulenie pracowników tych instytucji na kwestie bezpieczeństwa (higiena i wykrywanie podejrzanych sytuacji). Niezmiernie ważne są też testy penetracyjne oraz wielopoziomowe systemy wykrywania zdarzeń, które są aktywnie monitorowane.

Leszek Tasiemski, VP, Rapid Detection Center w firmie F-Secure.

Cyberdefence24
Cyberdefence24
KomentarzeLiczba komentarzy: 5
Karol Ś
wtorek, 7 lutego 2017, 07:43

Matko, cała krytyczna cała wie. Po ostatnich błędach zlecono inspekcje wszystkiego i wchodzą te błędy. Ten chłopak miał racje, ten tam z TVP. To zapaść. MSZ, teraz KNF, co jeszcze?

TowariszczJacho
środa, 8 lutego 2017, 10:48

Czy to jest wypowiedź "eksperta" z jednej z firm do której ma "zaufanie" NASK i MC - jeśli tak, to jestem pod "WRAŻENIEM" :), Cyber-Streż-cie mnie przed ...

gosc
wtorek, 7 lutego 2017, 04:20

Ale macie "eksperta" ktory nie wie gdzie nalezy czytac aby sie czegos dowiedziec. Co to za "ekspert" co nie zna prawdziwie eksperckiej strony "zaufana trzecia strona"? To Z3S pierwszy o tym napisal i wie najwiecej na ten temat. W kazdym razie duzo wiecej niz ten wasz "ekspert".

Dariusz
czwartek, 16 marca 2017, 14:15

co to za bełkot ?