24.02.2020 | 15:40

Adam Haertle

Włamanie na witrynę www Narodowego Banku Polskiego

Czy można włamać się na stronę jednego z najważniejszych polskich urzędów i zamieścić tam pozdrowienia dla kolegów? Okazuje się, że dla azjatyckich nastolatków to nic trudnego. Na szczęście nie mieli innych pomysłów…

Pewien Anonimowy Anonim podesłał nam link do ciekawej informacji. W repozytorium dowodów włamań, znanym ze swojej rzetelności, znaleźć można ślad po ciekawym włamaniu, do którego doszło przed 21 lutego 2020. Ofiarą ataku była strona Narodowego Banku Polskiego, a włamywacz postanowił zamieścić tam krótki tekst na dowód swoich umiejętności.

Komunikat od lulzkida

W całej tej katastrofie głównym elementem optymizmu jest tożsamość włamywacza czy też ich grupy. Pobieżne przejrzenie osiągnięć autorów kryjących się pod pseudonimem lulzkid wskazuje, że mogą oni pochodzić z Azji i należą do wymierającego gatunku hakerów. Na przejętych witrynach zamieszczają swoje apele do świata lub pozdrowienia dla znajomych, podczas gdy w rzeczywistości mogli narobić sporo bałaganu na polskim rynku finansowym.

Co mogło się stać

Co prawda według naszej wiedzy serwery NBP (przynajmniej te dostępne w sieci publicznej) nie są dla polskiego sektora finansowego tak kluczowe jak serwery KNF, na które włamano się w 2016-2017, jednak nietrudno wyobrazić sobie skutki podmiany takich wartości jak kursy walut czy wysokość stóp procentowych. Wiele podmiotów z wielu sektorów czerpie informacje o aktualnych kursach i stopach ze strony NBP i ich modyfikacja mogła sporo transakcji zmodyfikować. Nie chcemy też nawet myśleć, co można było osiągnąć, publikując np. fałszywy komunikat Rady Polityki Pieniężnej o stopach procentowych.

Pozostaje chyba podziękować azjatyckim włamywaczom za ich nieznajomość polskiego rynku lub brak chęci zarobku na wahaniach kursowych złotówki. NBP z kolei może udać się do KNF-u, który pewnie podzieli się swoimi doświadczeniami ze sprzątania po takim incydencie…

Aktualizacja 16:30

Wiemy już, że za włamaniem stoi pewna wietnamska grupa hakerów, która zapewnia, że nie ma żadnych złych intencji. Wywiad z autorem włamania już wkrótce.

Aktualizacja 17:00

Udało nam się skontaktować z włamywaczami. Na podstawie wpisów z innych włamań widocznych na zone-h, a zgłoszonych z tego samego konta, namierzyliśmy ich profil na FB.

Wpis prowadzący do profilu FB
Profil FB

Osoba, z którą rozmawialiśmy, przekazała nasze pytania włamywaczowi i pomogła z tłumaczeniem z wietnamskiego na angielski i na odwrót (autor włamania, lulzkid, nie posługuje się angielskim). Oto krótki wywiad ze sprawcą ataku.

Dlaczego wybrałeś akurat stronę NBP?

Całkiem losowo, bo okazało się, że da się tam włamać.

Jak wybierasz swoje cele?

Cele też wybieramy losowo. Celem może być każda strona, na którą potrafimy się włamać.

Możesz opisać techniczny aspekt włamania?

Wykorzystałem podatność ASPX RCE. Możesz sobie wygooglać.

Rozważałeś sprzedaż dostępu do strony na czarnym rynku?

Nie, robimy to dla rozrywki.

Kilka słów o sobie? Studiujesz, pracujesz?

Większość z nas to studenci, kilku pracuje.

Powrót

Komentarze

  • 2020.02.24 15:59 Administrator Internetu

    Wstajemy z kolan ale i tak nie sadze aby osoby odpowiedzialne za bezpieczenstwo zarabialy nawet 20% miesiecznie, tego co zarabiaja kroliczki prezesa.

    Odpowiedz
    • 2020.02.24 18:42 ABC

      Króliczki prezesa?
      Informatyk z wieloletnim stażem w WP zarabia mniej niż świeży szeregowy…
      Należy się cieszyć, że ktoś jeszcze chce dbać o tyłki panów oficerów…

      Odpowiedz
      • 2020.02.25 01:00 kapral

        WP to co jedynie .pl, w Polsce mamy SZRP

        Odpowiedz
    • 2020.02.25 07:43 elek

      Ale króliczki mają głębsze wykształcenie.

      Odpowiedz
    • 2020.02.27 08:26 gosc

      Moga sie tez zdarzyc informatycy ktorzy nie zajmuja sie aktualizacjami, dopoki ktos im tego nie zleci.
      Bo oprogramowanie i sprzet czasem tez kosztuje

      Odpowiedz
  • 2020.02.24 16:24 Testing

    Ciekawe jak docert….

    Odpowiedz
    • 2020.02.24 16:57 Test2

      A co z tym docertem?

      Odpowiedz
  • 2020.02.24 16:47 Duży Pies

    Ten włam po raz kolejny pokazuje w jak żałosnym stanie jest cyberbezpieczeństwo w administracji. Ręce opadają!
    Kiedy będzie wywiad z włamywaczami?

    Odpowiedz
  • 2020.02.24 17:06 Elliot

    Za dużo Mr. Robota ;)

    Odpowiedz
  • 2020.02.24 18:10 bom

    To tylko strona internetowa. Bank Centralny Bangladeszu stracił 81 mln USD a Bank Centralny Rosji 32 mln USD …

    Jak zniknęło 81 milionów dolarów – historia prawdziwa
    https://zaufanatrzeciastrona.pl/post/jak-zniknelo-81-milionow-dolarow-historia-prawdziwa/
    Hacks at Russian central bank have cost 2 billion rubles
    https://money.cnn.com/2016/12/02/technology/russia-central-bank-hack/

    Odpowiedz
    • 2020.02.25 00:01 pierwszykomentarzodponad5lat

      „To tylko strona internetowa” – o watering-hole/drive-by-download i kilku innych sie pewnie slyszalo.

      „wymierającego” – wg kogo?

      Odpowiedz
      • 2020.02.25 10:17 Bywam

        wymierający – zgaduje, że chodziło pewnie o gatunek robiący to tylko dla zabawy „bo mogą, bo potrafią” a nie dla szkód. – tak to rozumiem.

        Odpowiedz
    • 2020.02.25 01:53 akjsdh

      gdyby mieli więcej fantazji, to prawie nic by nie zmienili. Np. poza stopniowymi zmianami kursu jakiejś mało popularnej waluty. Potem poszukać które banki i kantory „posłuchają”. A potem 5. PROFIT!

      Odpowiedz
    • 2020.02.27 21:34 Ectelion

      Niezgodzę się z tobą. Bo ciągłość działania danej usługi jakim jest domena informacyjna NBP (NBP jest liczony jako Operator Uslug Kluczowyk – UOK) została skompromitowana i niedostępna, więc jak ktoś by się uparł to jest incydent który w ramach Ustawy o KSC, w którym powinien powiadomiony powinien być odpowiedni CSIRT. Ponadto zastanawiam się czy NPB certyfikowało się z normy ISO27001, bo jeżeli tak to kiepsko to wygląda w ramach cyklu Deminga na której się opiera :)

      Odpowiedz
  • 2020.02.24 18:25 Jerzy

    ASPX RCE? Toż to atak na sharepoint sprzed roku! Ręce opadają…

    Odpowiedz
    • 2020.02.25 00:03 Marek

      Tylko z przed roku? W jednej z polskich dużych firm z sektora energetycznego używa się przeglądarek w wersji z 2018r, albo z połowy 2019 (dla innej przeglądarki). Na tym stanęli z aktualizacjami, Litościwie pominę nazwy…

      I wcale nie trzeba się włamywać żeby się o tym dowiedzieć :-) sami się tym chwalą :-)

      Odpowiedz
      • 2020.02.25 16:19 X

        Sporo banków wciąż używa Win XP i IE11…

        Odpowiedz
        • 2020.03.04 22:13 x

          Na XP ostatni IE miał wersję 8

          Odpowiedz
  • 2020.02.24 19:48 Sosna

    „’Proudfeet!’ shouted an elderly hobbit from the back of the pavilion. His name, of course, was Proudfoot […]

    Stopy – stóp.

    Odpowiedz
  • 2020.02.24 20:25 DannyFinger

    za zdj hackermana z kung fury szanuje :D

    Odpowiedz
  • 2020.02.24 22:16 Cetacean

    Krótki ten wywiad :( Skoro to wymierający gatunek i niejako Wasi koledzy po fachu, moglibyście zadać trochę więcej pytań.

    Odpowiedz
  • 2020.02.25 09:21 Mario

    Odważnie z tą publikacją, oby nie nie skończyło się na Wilczej jak to bywalo ;)

    Odpowiedz
  • 2020.02.25 09:28 Pawell

    Włamanie na stronę www KNF nijak się ma do podmiany jakichkolwiek stop procentowych i kursów walut! Widać że nie masz pojęcia jak głęboko trzeba się włamać, żeby cokolwiek zmienić w danych o jakich mówisz.

    Odpowiedz
    • 2020.02.25 13:15 ...

      wystarczy javascripta załączyć który zmieni wygląd np.na 150% początkowej wartości

      Odpowiedz
  • 2020.02.25 10:00 Paweł Nyczaj

    Czyli tym razem NBP miał szczęście, ale mogło być gorzej gdyby trafił na hakerów działających dla pieniędzy

    Odpowiedz
  • 2020.02.25 10:15 czytelnik

    Proszę o sprawdzenie. Wchodząc na stronę http://www.nbp.pl brak szyfrowania. Później po jakimś czasie dopiero pojawia się, że szyfrowana. Może z tego skorzystali. Nie mam wiedzy ale Wy macie :) Pozdro

    Odpowiedz
  • 2020.02.25 12:40 PimpVonRumszted

    Moi sojusznicy w wojnie z imperializmem zachodnim. Dobrze, dobrze niech żyje Czegewara

    Odpowiedz
  • 2020.02.26 09:31 osc

    Zauważcie, że NBP nie trzyma głownej strony na swoim serwerze, tylko obecnie mają hosting w firmie Polcom ze Skawiny.

    Odpowiedz
  • 2020.02.26 15:14 Romek

    Zapytajcie Bankowe Centrum Cyberbezpieczeństwa jak zareagowali na incydent :)

    Odpowiedz
    • 2020.02.29 06:27 Krzysztof

      Każdemu się zdarza, to kwestia czasu kiedy będzie ponownie takie włamanie. Pytanie – czy wyciągną wnioski z tego incydentu?

      Odpowiedz
  • 2020.02.27 10:45 Marcin

    Ale, że takie rzeczy miały miejsce w „najlepszym polskim” Data Center – to ja się dziwię :) Najciemniej pod latarnią :)

    Odpowiedz
  • 2020.03.08 10:56 Javel

    za pol roku okaze sie, ze podmienili tez SSH a strona www byla tylko przykrywka :)

    Odpowiedz
  • 2020.04.02 06:21 Twój nick

    Czy ten kolo na zdjęciu to młody Snowden z ZX Spectrum?

    Odpowiedz

Zostaw odpowiedź do Javel

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Włamanie na witrynę www Narodowego Banku Polskiego

Komentarze