Serwery ERGO Hestia wykorzystane w ataku na tysiące polskich internautów

dodał 12 czerwca 2018 o 06:41 w kategorii Złośniki  z tagami:
Serwery ERGO Hestia wykorzystane w ataku na tysiące polskich internautów

Z reguły wiadomości wysłane przez przestępców ekspert rozpozna od ręki. Sfałszowany adres nadawcy, e-mail wyszedł z niepowiązanych serwerów – dla fachowca to proste. Ten atak był jednak inny, zdecydowanie lepszy.

Wczoraj rano do skrzynek tysięcy Polaków trafiła wiadomość, która została wysłana z serwerów firmy ubezpieczeniowej ERGO Hestia, a w swojej treści nawiązywała do profilu działalności nadawcy. Ten bardzo dobrze przygotowany atak mógł odnieść ogromny sukces – gdyby nie niezwykle szczęśliwa wpadka przestępców.

Informacja o rozdysponowaniu wpłaty

Wiadomość wyglądała następująco:

Szanowny Kliencie,
w załączeniu przesyłamy korespondencję w sprawie przysługującego zwrotu nadwyżki.

W związku z tym zwracamy się z prośbą o złożenie dyspozycji określającej formę wypłaty umożliwiającej jej zwrot.

Najszybszą formą realizacji zwrotu jest przelew bankowy, więc zachęcamy do wskazania numeru rachunku bankowego, na który zostanie zrealizowany przelew.

Dyspozycję można złożyć drogą telefoniczną kontaktując się z Infolinią Ergo Hestia (dostępną całą dobę pod numerem telefonu 801 107 107).

Z poważaniem
Paweł xxxx
STU Ergo Hestia S. A.

Treść wiadomości wyglądała, jakby nadawcą był pracownik ERGO Hestia. Adres nadawcy wskazywał na serwery ERGO Hestia. Co jednak mówił element najważniejszy, czyli nagłówki wiadomości?

Received: from smtp1.hestia.pl (HELO smtp.ergohestia.pl) ([91.198.179.205])
(envelope-sender <[email protected]>)
by mx.wp.pl (WP-SMTPD) with DHE-RSA-AES256-SHA encrypted SMTP
for xxx; 11 Jun 2018 06:08:37 +0200
Received: from (prod-zimbra-app01.hestia.polska [10.200.31.191]) by smtp1.ergohestia.pl with smtp
(TLS: TLSv1/SSLv3,256bits,AES256-SHA)
id 6cc6_5149_1cc7a97a_6d2d_11e8_97d4_00137263bdec;
Mon, 11 Jun 2018 06:08:35 +0200
Received: from prod-zimbra-app01.hestia.polska (localhost [127.0.0.1])
by prod-zimbra-app01.hestia.polska (Postfix) with ESMTPS id C4703A2C1D82
for xxx; Mon, 11 Jun 2018 04:49:46 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
by prod-zimbra-app01.hestia.polska (Postfix) with ESMTP id A04B7C239395
for xxx Mon, 11 Jun 2018 04:46:34 +0200 (CEST)
X-Virus-Scanned: amavisd-new at prod-zimbra-app01.hestia.polska
Received: from prod-zimbra-app01.hestia.polska ([127.0.0.1])
by localhost (prod-zimbra-app01.hestia.polska [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP id BG_JLv7jfKKu for xxx;
Mon, 11 Jun 2018 04:46:34 +0200 (CEST)
Received: from FDGVHBKLKPOJBD (unknown [46.246.119.242])
by prod-zimbra-app01.hestia.polska (Postfix) with ESMTPSA id 044F9A2C1D7F
for xxx; Mon, 11 Jun 2018 04:43:26 +0200 (CEST)

Ile razy byśmy ich nie czytali, zawsze okazuje się, że wiadomość faktycznie wyszła z serwerów pocztowych ERGO Hestia. Najwyraźniej zatem przestępcy uzyskali dostęp do konta co najmniej jednego użytkownika (we wszystkich próbkach widzieliśmy ten sam adres) na serwerach pocztowych ERGO Hestia i użyli go, by rozesłać złośliwe oprogramowanie do swoich ofiar.

Złośliwy załącznik

Co było w załączniku? Kawał polega na tym, ze prawdopodobnie nic. Nie taka jednak była intencja przestępców. We wszystkich zbadanych przez nas próbkach złośliwy kod z załącznika usunął… system antywirusowy na serwerach ERGO Hestia. Ich zawartość była plikiem HTML i wyglądała tak:

Wygląda zatem na to, że przestępcy mogli zaliczyć sporą wpadkę – co najmniej dla dużej części wysyłki zadziałały mechanizmy bezpieczeństwa, które wycięły ich złośliwy ładunek, zanim trafił do skrzynek odbiorców.

Co zatem miało być ładunkiem? W oparciu o dostęp do analogicznych próbek złośnika (to nie była jedyna kampania, która dążyła wczoraj do tego samego celu) możemy wstępnie wskazać, że celem przestępców było pobranie kodu klasyfikowanego przez ESET najpierw jako Win32/TrojanDownloader.Danabot.A trojan, a w kolejny etapie Win32/Spy.Danabot.B trojan. Ma to być rzekomo nowy wariant bankowego konia trojańskiego. Złośliwy kod miał być pobierany z serwera:

http://198.12.113.17/

Dobrze przygotowana akcja o dużej szansie powodzenia

To pierwszy obserwowany przez nas przypadek, gdy prawdziwe konto firmowe w Polsce użyte jest do masowego rozesłania złośliwego oprogramowania do ofiar. Masowego, ponieważ po liczbie otrzymanych przez nas zgłoszeń szacujemy, że wysyłka mogła trafić do kilkudziesięciu tysięcy osób. Przestępcy uzyskali dostęp do firmowego konta pocztowego (warto zauważyć, że nie było to konto pracownika ERGO Hestia, lecz współpracownika – agenta, przez co zapewne było słabiej chronione) i stworzyli wiarygodnie wyglądającą wiadomość (lub ukradli jej wzorzec z konta ofiary). Zwróćcie także uwagę na porę wysyłki – obserwowaliśmy e-maile doręczane ok. godziny 3-4 rano, co oznacza, że działu IT jeszcze nie ma w pracy (nikt nie przerwie akcji), ale zaraz odbiorcy siądą do swoich komputerów. Ktoś to dobrze przemyślał. Nie jest także wykluczone, że na początku e-maile mogły docierać do skrzynek odbiorców ze złośliwym załącznikiem – jeśli macie taką próbkę, to poprosimy (unieszkodliwiona ma w archiwum plik o nazwie 0_warning.htm).

Niech ten ciekawy incydent będzie ostrzeżeniem dla innych firm. Czy z Waszego serwera pocztowego da się zdalnie wysłać tysiące e-maili naraz? My dodajemy go do listy przypadków omawianych podczas naszych wykładów uświadamiających użytkowników – świetny przykład pokazujący, że czasem dopiero na etapie załącznika można mieć poważne wątpliwości.

O komentarz do tego incydentu poprosiliśmy ERGO Hestia – jak tylko dotrze, zamieścimy odpowiednią aktualizację.

Aktualizacja 2018-06-12 13:00

Otrzymaliśmy bardzo obszerny komunikat ERGO Hestia, który cytujemy w całości.

Oświadczenie ws. ataku hakerskiego z dn. 11 czerwca 2018 roku

W nocy z 10 na 11 czerwca br.,  wykorzystując  fałszywą   tożsamość  pośrednika ERGO Hestii, z adresu [email protected] wysłano masowo, do nieznanej liczby odbiorców wiadomość, dotyczącą zwrotu nadpłaconej składki. Pod wiadomością znajdował  się podpis „Paweł Kolasa STU ERGO Hestia”. Niezwłocznie po uzyskaniu tej informacji zablokowaliśmy dalszą wysyłkę.

Według naszych ustaleń był to pierwszy w Polsce atak związany z próbą wykorzystania serwerów korporacji do masowego rozesłania złośliwego oprogramowania. Do ataku wykorzystano przejęte konto pocztowe jednego ze współpracujących z naszym towarzystwem agentów.

Zabezpieczenia infrastruktury ERGO Hestii nie zostały przełamane. Wstępne analizy potwierdzają, że mechanizmy bezpieczeństwa usunęły z rozesłanych do przypadkowych odbiorców maili złośliwy kod, zanim ten trafił na ich skrzynki pocztowe. W efekcie wprawdzie haker wysłał fałszywe maile, ale dzięki odpowiedniej konfiguracji systemów antywirusowych, zainstalowanych również dla poczty wysyłanej przez agentów, były one nieszkodliwe.

Tego samego dnia poinformowaliśmy o próbie ataku naszych pośredników, rekomendując im m.in. niezwłoczną zmianę poświadczeń do programów pocztowych oraz skanowanie komputerów oprogramowaniem antywirusowym.

Nadal trwają prace weryfikujące szczegóły ataku.

Bezpieczeństwo danych naszych Klientów i Partnerów Biznesowych jest dla nas sprawą najwyższej wagi.  Stale monitorujemy naszą infrastrukturę i podnosimy skuteczność zabezpieczeń.

Procedury i procesy obsługowe ERGO Hestii zdały egzamin i zadziałały zgodnie z założeniami.

Arkadiusz Bruliński

Rzecznik prasowy Grupy ERGO Hestia

Firmie pozostaje pogratulować profesjonalnej reakcji na incydent – liczymy także na dalsze wyjaśnienia, gdy uda się ustalić szczegóły ataku.

Podobne wpisy