Włamywacze mogli przebywać w sieci Netii od kwietnia 2016

dodał 8 lipca 2016 o 06:31 w kategorii Włamania  z tagami:
Włamywacze mogli przebywać w sieci Netii od kwietnia 2016

Znaleźliśmy informacje wskazujące, że włamanie do serwera Netii którego konsekwencje mogliśmy dzisiaj obserwować mogło mieć miejsce dużo wcześniej, bo w kwietniu 2016. Dowodem jest próbka złośliwego oprogramowania z tego serwera…

Przypomnijmy – wczoraj poinformowaliśmy o włamaniu do serwera Netii oraz wycieku danych osobowych klientów. Co prawda Netia w swoim pierwszym oświadczeniu nie potwierdziła wycieku danych, lecz trudno zignorować istnienie plików o rozmiarach gigabajtów, w których znajdują się adresy WWW Netii, produkty Netii oraz potwierdzone przez nas dane osobowe klientów Netii sprzed kilku dni.  Szukając informacji o okolicznościach włamania na serwer investor.netia.pl znaleźliśmy próbkę złośliwego oprogramowania, która pobierana była własnie z tego serwera. Oznacza to, że albo doszło do dwóch włamań, albo włamywaczy nie udało się w kwietniu 2016 usunąć.

Rosyjski dokument

W serwisie VirusTotal znaleźć można dokument Worda o następującej widocznej zawartości:

Rosyjskojęzyczna przynęta

Przynęta po ukraińsku

Sam dokument udaje urzędowy formularz, lecz w stopce zawiera prośbę o uruchomienie makro. Jak pewnie wiecie, uruchomienie makro może zaowocować wykonaniem złośliwego kodu. W tym wypadku faktycznie tak jest. Kod jest zaciemniony, jednak po jego wyczyszczeniu otrzymujemy następujące polecenie:

Tak, Wasze oczy Was nie mylą. Złośliwy dokument Worda pobiera plik uran.jpg z serwera investor.netia.pl a następnie go wykonuje. Plik JPG to oczywiście ukryty plik EXE, w tym wypadku koń trojański Papras (dla zainteresowanych link do VT).

Wiemy, że wydarzenia te miały miejsce około 20 kwietnia 2016. Netia została poinformowana o incydencie i po dwóch dniach plik z koniem trojańskim zniknął z serwera. Nie wiemy jednak, czy plik został usunięty przez administratorów Netii czy też przez przestępców kontrolujących serwer.

Nasze wnioski

Być może po wykryciu infekcji Netia załatała błędy w serwerze i przez przypadek przestępcom udało się odkryć nowy błąd i ponownie dostać do serwera. Możliwe także, że cały czas dostęp do serwera posiadali i szykując się na małą destabilizację w Polsce 1 lipca pobrali wszystkie dostępne dane z serwera Netii i 7 lipca je opublikowali. Mamy nadzieję, że śledztwo Netii to wyjaśni i poznamy jego wyniki.

Aktualizacja 2016.07.08 9:30

Otrzymaliśmy zaktualizowane oświadczenie Netii, w którym firma potwierdza wyciek danych klientów:

7 lipca 2016 roku około południa strona internetowa netia.pl została zaatakowana przez hakerów. Hasła i loginy dostępu do NetiaOnline są bezpieczne, dlatego nie ma konieczności żadnych działań ze strony klientów.

Wszystkie serwisy obsługi klienta Netii działają prawidłowo. Eksperci analizują przebieg ataku. Podjęte aktywności pozwoliły zminimalizować skutki działań wymierzonych w firmę. We współpracy z wiodącymi na rynku specjalistami z zakresu cyberbezpieczeństwa niezwłocznie wzmocniliśmy ochronę naszych zasobów sieciowych.

Niemniej w wyniku ataku hakerzy dostali się do stron zawierających dane osób zgłaszających poprzez formularz chęć kontaktu ze strony Netii. Są to często fragmentaryczne wpisy, zawierające głównie numery telefonów kontaktowych.

Dodatkowo włamujący się na stronę uzyskali dostęp do danych z formularza umów zawieranych drogą elektroniczną, poprzez stronę internetową Netii. Netia pragnie zachować najdalej idącą ostrożność, dlatego wszyscy klienci, których może dotyczyć potencjalny wyciek, zostaną powiadomieni. Dotyczy to niewielkiej części abonentów firmy.

Sytuacja została ustabilizowana. Dane klientów oraz firm współpracujących są zabezpieczone przez ekspertów Netii, których wspomaga dodatkowy, wysoko wykwalifikowany, zewnętrzny zespół doradczy.

O dalszych szczegółach będziemy informowali na bieżąco wraz z postępem naszej kontroli.