Czeski MSZ porządnie zhakowany, polski MSZ sobie z atakiem Rosjan poradził

dodał 1 lutego 2017 o 11:43 w kategorii Włamania  z tagami:
Czeski MSZ porządnie zhakowany, polski MSZ sobie z atakiem Rosjan poradził

Czy polski cyber jest lepszy od czeskiego? Najwyraźniej w niektórych obszarach procentują doświadczenia zebrane w poprzednich latach, ponieważ w dwóch podobnych atakach na ministerstwa spraw zagranicznych to Polacy poradzili sobie lepiej.

Czeski minister spraw zagranicznych Lubomír Zaorálek poinformował, że na skutek włamań do jego skrzynki pocztowej oraz skrzynek jego najbliższych współpracowników wykradzione zostały tysiące wiadomości i dokumentów. Całkiem niedawno celem podobnego ataku było polskie MSZ, jednak według dostępnych informacji atak został szybko wykryty i nie doszło do incydentu na taką skalę jak w Czechach.

Czeski film

Według czeskich źródeł skutecznie zaatakowane zostały skrzynki zwykłych pracowników czeskiego MSZ, członków kierownictwa ministerstwa a także samego ministra. Ministerstwo oficjalnie mówi, że ataki miały miejsce w ostatnich tygodniach a problem został zidentyfikowany dopiero niedawno. Jednocześnie inne artykuły wskazują, że ofiarami mogli być także czescy ambasadorowie a najstarsze ślady nieuprawnionego dostępu do poczty ministerstwa sięgają września 2016. Podejrzewamy, że aktualna afera sprawiła, że ktoś zaczął w końcu przeglądać logi dostępu i znalazł niejedną anomalię.  Wiadomo, że włamywacze wykradli dużo danych, lecz do tej pory nie udało się określić, jakie straty poniesiono. Choć kierownictwo ministerstwa zapewnia, że atak dotyczył tylko jawnej części sieci i na tej podstawie twierdzi, że nie wyciekły żadne dokumenty objęte klauzulami poufności, to znając życie możemy się spodziewać, że w skrzynkach pracowników mogły być dokumenty o przeróżnych klauzulach. Czeskie media określają atak największym incydentem tej kategorii w historii Czech, chociaż wycieki ze skrzynki ministra zdarzyły się już np. w roku 2015, kiedy to część jej zawartości wylądowała na prawicowym portalu. Oczywiście minister określił atak jako „sofistikovaný” (czyli wyrafinowany) – nikt nie przyzna się, że włamywacz nie musiał się specjalnie wysilać.

Tymczasem w Polsce

Dwa dni temu Rzeczpospolita napisała o atakach na polski MSZ, podczas kiedy czytelnicy Weekendowej Lektury link do tej informacji mogli znaleźć już 6 stycznia. Niektóre szczegóły tego ataku ujawniła firma Prevenity, pomagająca chronić systemy MSZ, inne mogliśmy niedawno znaleźć w raporcie zespołu Talos firmy Cisco. Co zatem wiadomo o ataku na polski MSZ?

Atak był dobrze przygotowany. Kilku pracowników MSZ otrzymało wiadomość poczty elektronicznej. Wiadomość pochodziła z serwera pocztowego ministerstwa spraw zagranicznych jednego z krajów Ameryki Łacińskiej i dotyczyła oświadczenia sekretarza generalnego NATO. Atakujący faktycznie postarali się, by zwiększyć szansę powodzenia ataku. Przede wszystkim wybrali bardzo wąską grupę docelową, by utrudnić wykrycie ataku i zmniejszyć prawdopodobieństwo, że jeden z odbiorców rozpozna atak i zgłosi go działowi bezpieczeństwa. Po drugie użyli serwera innego, zagranicznego ministerstwa, by zwiększyć wiarygodność wiadomości – musieli wcześniej uzyskać do niego nieautoryzowany dostęp i uznać, że warto go „spalić” w ataku na cenniejszy cel. Po trzecie termin ataku też nie był przypadkowy. Wiadomości wysyłane były w okresie między Bożym Narodzeniem a Nowym Rokiem, dzięki czemu atakujący liczyli zapewne na mniejszą uważność odbiorców i mniej liczną obsadę zespołu reagowania na incydenty. Po czwarte treść wiadomości była wiarygodna – załącznik zawierał prawdziwe oświadczenie sekretarza generalnego NATO po spotkaniu rady NATO-Rosja, które odbyło się kilka dni wcześniej.

Do wiadomości dołączony był dokument pod tytułem NATO Secretary meeting.doc, zawierający wspomniane oświadczenie. Oprócz oświadczenia dokument zawierał jednak coś jeszcze – był to obiekt Flash.

Zespół Talos podzielił się powyższym zrzutem ekranu – nie jesteśmy pewni, czy komunikat z ostrzeżeniem pojawiał się w domyślnej konfiguracji Worda, chociaż raczej powinien. Mógł to być pierwszy podejrzany element ataku. Obiekt OLE zawierał obiekt Flash, który z kolei zawierał kolejny spakowany obiekt Flash przeprowadzający rozpoznanie w systemie. Złośliwy kod najpierw zgłaszał swoje uruchomienie do serwera miropc.org a następnie do serwerów gtranm.com oraz zpfgr.com przesyłał zaszyfrowane informacje takie jak np. lista uruchomionych aplikacji, wersja systemu Windows czy wersja Flasha pozwalające na ustalenie, czy został uruchomiony na zwykłej stacji roboczej w MSZ, czy w środowisku wirtualnym. Na podstawie tych informacji atakujący mógł podjąć decyzje o ewentualnej dalszej infekcji. Poniższy wykres autorstwa zespołu Talos pokazuje liczbę zapytań o adres miropc.org poczynając od 29 grudnia 2016.

Początkowe słupki to zapewne ofiary ataku, systemy detekcji i pierwsi badacze weryfikujący działanie złośliwego kodu, zaś fala po 16 stycznia to stado kolejnych badaczy rzucających się na rozdystrybuowane w środowisku informacje o nowej kampanii.

Jeśli infekowany system spełniał kryteria ustalone przez atakującego, kolejne żądania do serwerów sterujących infekcją pobierały kolejne elementy łańcucha ataku aż do bodajże czwartego obiektu Flash, który był właściwym exploitem wykorzystującym niedawno odkryty błąd w wirtualnej maszynie Adobe Flash Player. Co ciekawe, gdy atakiem zaczęło się interesować więcej ekspertów, serwer wysyłający ostatni infekujący plik nie został wyłączony, a jedynie podmieniono na nim wysyłane dane na takie, które mogą powodować awarię prostych mechanizmów analitycznych. Po wykonaniu właściwego exploita w infekowanym systemie instalowane jest złośliwe oprogramowanie w formie biblioteki DLL solidnie zabezpieczonej przed analizą. Takie podejście do infekcji wskazuje na dojrzałość atakującego – właściwy exploit nie jest wysyłany wraz z dokumentem, lecz jest pobierany wyłącznie na systemy interesujące napastnika, utrudniając analizę ataku.

Nie pierwszy i nie ostatni

Podobnych ataków na polskie instytucje rządowe było już sporo – samo Prevenity opisywało je w maju 2016, sierpniu 2015, marcu 2015 i sierpniu 2014. Na z3s mogliście czytać o atakach na pocztę MON czy o rzekomym wycieku danych z tego ministerstwa. Ataków zapewne będzie tylko więcej, lecz na szczęście – jak pokazuje powyższy przykład – można je wykrywać i im skutecznie przeciwdziałać. W tym miejscu pozdrawiamy pracowników Wydziału Reagowania na Incydenty Komputerowe MSZ oraz innych dzielnych obrońców naszych narodowych sekretów. Powodzenia!