Ukierunkowany atak na pracowników polskich samorządów

dodał 19 marca 2014 o 19:46 w kategorii Złośniki  z tagami:
Ukierunkowany atak na pracowników polskich samorządów

Wczoraj otrzymaliśmy z kilku źródeł informację o próbie ataku na pracowników samorządu terytorialnego – prawdopodobnie ukierunkowanego na skarbników, dysponujących dostępem do rachunków bankowych gmin i powiatów.

Dwa dni temu na skrzynki pocztowe urzędników zaczęły docierać wiadomości, wyglądające jak komunikaty od producenta oprogramowania BeSTi@ służącego do raportowania informacji dla Regionalnych Izb Obrachunkowych. Kampania wygląda na solidnie przygotowaną, a linki, zawarte w wiadomościach prowadzą do złośliwego oprogramowania.

Aktualizacja BeStii

BeSti@ to program, za pomocą którego gminy i powiaty przekazują dane do RIO. Tak się składa, że oprogramowanie to wykorzystywane jest przez skarbników tych jednostek, a to właśnie skarbnicy posiadają dostęp do rachunków bankowych. Atakujący najwyraźniej dobrze dobrał swoją grupę docelową oraz sposób ataku – aktualizacje BeStii to nic zaskakującego ponieważ jej producent wypuszcza czasem jedną poprawkę tygodniowo. Poprawki pobierane są z wewnątrz aplikacji, zatem atakujący musiał znaleźć argument, by przekonać użytkowników do skorzystania z innej metody. Według informacji, które otrzymaliśmy, nie było to szczególnie trudne zadanie, ponieważ mechanizmy aktualizacji aplikacji czasem zawodziły i trzeba było pobierać pliki bezpośrednio ze strony producenta. Ostatnio także trzeba było ręcznie podmieniać pliki ze starszej wersji, ponieważ jedna z aktualizacji popsuła ważna funkcję podpisywania dokumentów.

Sam email wyglądał tak:

Jak widać atakujący zadbał zarówno o treść wiadomości, jak i o wiele towarzyszących jej szczegółów. Zarejestrował domenę o złudnie podobnym adresie (oryginalna to budzetjst.pl), w której umieścił plik z „aktualizacją”, a także dobrał odpowiednio numer nowej wersji oprogramowania (oficjalna dostępna obecnie to 3.0.2.12.06, o jeden numer niższa).  Ewidentnie także starał się zachęcić użytkowników do samodzielnej instalacji oprogramowania, bez pomocy urzędowego informatyka.

Program BeSti@

Program BeSti@

Koń trojański w prezencie

Plik binarny pod nazwą Bestia.3.02.012.07.exe nadal jest dostępny pod wskazanym adresem, zatem mogliśmy go pobrać i wstępnie mu się przyjrzeć. Przede wszystkim jest on obecnie rozpoznawany przez większość sensownych  programów antywirusowych (28/50). Narzędzia analizujące poinformowały, że jest to prawdopodobnie skompilowany skrypt AutoIt. Próby jego dekompilacji zakończyły sie umiarkowanym sukcesem – skrypt przed kompilacją został poddany zaciemnieniu, a nie trafiliśmy na żaden automat, który by je sensownie rozjaśnił (aktualizacja – jeden z Czytelników trochę rozjaśnił). Na podstawie obserwacji zachowania programu po jego uruchomieniu możemy powiedzieć, że:

  • program tworzy swoją kopię pod nazwą driver–grap.exe w folderze nazwaużytkownika/AppData/Roaming oraz dodaje jej skrót pod nazwą „Windows” do folderu Autostart
  • program w tym samym folderze tworzy podfolder o nazwie dclogs
  • do folderu dclogs zapisuje pliki z informacją o otwartych oknach i naciśniętych klawiszach (nazwa pliku to rok-miesiac-dzien-godzina.dc)
  • raz na 20 sekund wysyła krótki pakiet o stałej treści (sygnatura? id?) na port 81 serwera 188.116.4.246, tego samego, na którym znajduje się witryna budzetjsf.pl

W trakcie kilku godzin testów nie zaobserwowaliśmy innych przesyłanych danych, dziwnych połączeń lub ingerencji w otwierane witryny banków. Jest jednak całkiem możliwe, że ten koń trojański posiada więcej funkcji niż te, które do tej pory pokazał.

Sama domena oszusta została zarejestrowana 10 marca tego roku, a serwer znajduje się w polskiej firmie świadczącej usługi wynajmu wirtualnych maszyn HitMe.pl.

Co ciekawe, plik driver–grap.exe (wraz z windows.lnk) występowały w podobnej roli już pod koniec stycznia 2014 (wraz z plikiem AudioC0dec.exe) oraz 15 marca w podobnej konfiguracji, jak opisywana w artykule.

Co dalej?

O incydencie dość szybko, bo tego samego dnia, poinformował zarówno producent oprogramowania, jak i główna witryna Regionalnych Izb Obrachunkowych. Co istotne, informacja pojawiła się wręcz kilka godzin po pierwszych emailach od atakujących – duży plus za tempo reakcji. Niektóre RIO kontaktowały się również bezpośrednio z użytkownikami, ostrzegając ich przed atakiem.

Co mają robić osoby, które program uruchomiły? Polecamy nie korzystanie z komputera i jego szybkie przekazanie w ręce fachowców a w przyszłości więcej refleksji nad pobieraniem z sieci i uruchamianiem programów.

Dziękujemy Karolowi , Tomkowi i Urzę-dadasowi, którzy poinformowali nas o zdarzeniu.