Nowe informacje techniczne na temat ataków na polskie banki

dodał 3 kwietnia 2017 o 21:07 w kategorii Włamania  z tagami:
Nowe informacje techniczne na temat ataków na polskie banki

Firma Kaspersky opublikowała właśnie bardzo, ale to bardzo obszerny raport na temat niedawnych ataków na polski (i nie tylko polski) sektor bankowy. Choć na razie nie widzimy w nim sensacji, to na pewno jest wart lektury.

Dzisiaj na konferencji Security Analyst Summit pracownicy firm Kaspersky, BAE oraz SWIFT przedstawili nowy, bardzo szczegółowy raport na temat działalności grupy Lazarus, podejrzewanej o ataki na sektor bankowy w wielu krajach całego świata.

Jak to w polskim banku było

Jeśli szukacie informacji o ataku na jeden z polskich banków, to znajdziecie je poczynając od strony 13, pod nagłówkiem „Incident #2”. Oprócz bardzo precyzyjnie opisanego przebiegu infekcji wraz z charakterystyką użytego złośliwego oprogramowania możemy się także dowiedzieć co nieco o przyczynach braku aktualizacji Flasha na stacji bankowej oraz o tym, jak swoje przyczółki w sieci banku budowali przestępcy.

„Pacjent zero”, czyli pierwszy komputer, został w tym banku zainfekowany 10 stycznia 2017. Witryną infekującą był serwer KNF. Sam opis procesu infekcji zgodny jest z tym co przedstawialiśmy kilka tygodni temu. Co ciekawe, Kaspersky opisuje, dlaczego na zaatakowanej stacji znajdował się Flash w wersji z grudnia 2015. Okazuje się bowiem, że na tym komputerze Flash miał problemy z aktualizacją, związane prawdopodobnie z brakiem dostępu do bankowego serwera proxy. Okresowo uruchamiał się Adobe Flash Updater, ale biedak nie mógł pobrać najnowszej wersji.

Gdy przestępcy zdobyli przyczółek na komputerze, szybko zmigrowali się na drugi komputer, gdzie zainstalowali swoje złośliwe oprogramowanie. Co interesujące, na drugi komputer przestępcy dostali się już z uprawnieniami administratora. To samo konto było także wykorzystywane by przejąc kontrolę nad innymi hostami w tej samej sieci. Używano przy tym techniki zdalnego tworzenia zaplanowanych zadań na atakowanych hostach. Niestety Kaspersky nie wspomina (a przynajmniej nie znaleźliśmy takiej informacji), w jaki sposób włamywacze zdobyli uprawnienia administratora. Informuje za to, że przejęte były co najmniej 3 hosty w sieci ofiary oprócz początkowej infekcji stacji roboczej.

Nie tylko Polska

Atak na serwer KNF nie był odosobniony. Podobne zanotowano w Rosji, Australii, Urugwaju, Meksyku, Indiach, Nigerii oraz Peru. Większość zainfekowanych serwerów miała zainstalowanego JBossa, jednak badacze nie natrafili na ślady konkretnego exploita. Geograficzny rozkład zidentyfikowanych ofiar grupy tych samych włamywaczy od roku 2009 wygląda następująco:

Kaspersky dosyć szeroko opisuje działalność całej wysoce wyspecjalizowanej grupy włamywaczy, atakujących systemy finansowe na całym świecie. W dokumencie znajdzie także szczegółowe opisy poszczególnych narzędzi grupy oraz spore zestawienie IOC, z których nie wszystkie były wcześniej znane. Miłej lektury – bo warto.