Po bezprecedensowym ataku hakerskim na polski system bankowy przeprowadzony tuż przed weekendem czynności śledcze prowadzi Agencja Bezpieczeństwa Wewnętrznego. Dopiero jej ustalenia pozwolą określić ostateczną skalę ataku oraz jego skutki. Strona internetowa Komisji Nadzoru Finansowego działa obecnie bez zakłóceń.
Atak wyglądał na bardzo zaawansowany i skoordynowany, a jego skala to najbardziej interesująca część. Można przypuszczać, że wektorem ataku był popularnie używany komponent, jak np. przeglądarka internetowa, dokument w formacie .pdf, system operacyjny lub podatne urządzenie z infrastruktury sieciowej. Przede wszystkim interesujące jest to, czy organizacje odkryły atak w tym samym czasie (i w jaki sposób) oraz od jak dawna ten atak był prowadzony. Możliwe, że atak (wyprowadzanie danych) był przeprowadzony w sposób skoordynowany, a na skutek błędu lub nieostrożności „wypłynął” w jednej organizacji, która zaalarmowała pozostałe. Najbardziej skuteczne i zaawansowane ataki trwają latami, są odpowiednio zakamuflowane i nie zostawiają (łatwych do odkrycia) śladów.
Istotnym pytaniem jest to, jak banki dowiedziały się o ataku. Standardowo zadajemy takie pytanie jako jedno z pierwszych podczas przeprowadzania procedury Incident Response. Sposób wykrycia ataku może powiedzieć bardzo wiele o jego dynamice i wektorach.
Obcy wywiad? Zorganizowana grupa?
Dane osobowe, finansowe są cenne. Na czarnym rynku tego typu rekordy mają konkretną cenę. Skoro nie mamy informacji, że zginęły pieniądze to nasuwają się dwie możliwości: albo przestępcy nie zdążyli dojść do tej fazy ataku, co jest mało prawdopodobne, albo zainteresowani byli danymi, a nie pieniędzmi. Dane (wrażliwe, osobowe, finansowe) mają wartość pieniężną, ale jeszcze ciekawsze mogą być dla instytucji wywiadowczych, więc ta opcja jest możliwa – zwłaszcza biorąc pod uwagę skalę ataku i prawdopodobnie związane z nim koszty.
Blokada strony KNF
Sam atak na stronę internetową Komisji Nadzoru Finansowego nie miałby większego znaczenia. Zazwyczaj witryny są hostowane zupełnie osobno od ważnych danych. To dobra praktyka. Co prawda atak na witrynę jest zawsze nagłaśniany i spektakularny, ale praktyczny rezultat jest (poza naruszonym wizerunkiem) niewielki.
Jeśli rzeczywiście źródłem infekcji była strona KNF, to może również oznaczać, że mamy do czynienia z powszechnym (ale niewykrywanym przez oprogramowanie ochronne) złośliwym oprogramowaniem, które zupełnie przypadkiem, ze względu na specyfikę serwera KNF, zainfekowało komputery w bankach. To jednak optymistyczny scenariusz. Należałoby przeanalizować dokładnie logi ruchu sieciowego z zainfekowanych systemów, żeby zobaczyć, jakie aktywności to złośliwe oprogramowanie podejmowało i na ile było specyficzne.
Stuprocentowa ochrona nie jest możliwa. Ważne jest wyczulenie pracowników banków i innych instytucji na kwestie bezpieczeństwa (higiena i wykrywanie podejrzanych sytuacji). Niezmiernie ważne są też testy penetracyjne oraz wielopoziomowe systemy wykrywania zdarzeń, które są aktywnie monitorowane.
Leszek Tasiemski,VP, Rapid Detection Center w firmie F-Secure