Enigmatyczna wiadomość e-mail, zawierająca plik o nazwie "przed ruchami na kontach bankowych 17.01 godz 22.00.zip", została wysłana przez cały łańcuch kont, by zachować anonimowość. Prawdopodobnie nie zostaliśmy obdarzeni aż takim zaufaniem albo osoby, które przesłały nam tę wiadomość, nie wierzą w ochronę źródła przez prawo lub dziennikarzy. Oczywiście przy wysyłce nie korzystano z usług Google Mail, Microsoft Outlook.com, ani żadnego z polskich portali. Adres "punktu zrzutu" wskazywał na Chiny (domena 163.com, link wstawiony w adresie xjbchuchaoxin.blog.163.com), potem sprytnie przekazany za pomocą serwisu tymczasowych adresów e-mail. Aby było łatwiej, wiadomość była sfałszowana.

Redaktor działu technologii i bezpieczeństwa regularnie otrzymuje zgłoszenia o atakach złośliwego oprogramowania, niekiedy z próbkami kodu eksploita włącznie, ale jak dotąd nikt nie przysłał do nas materiału takiej wagi.

Plik jest backupem programu Fkwin 9.6.0 z bazy Ambasady w Kiszyniowie, utworzonym 17 stycznia 2013r o godzinie 21.51 czasu lokalnego. Wewnątrz archiwum ZIP znajduje się pojedynczy plik o nazwie "przed ruchami na kontach bankowych 17.01 godz 22.00.accde". Oprogramowanie FKWIN jest rzadko spotykane poza placówkami polskiego Ministerstwa Spraw Zagranicznych.

Ciekawa zawartość pliku

Krótka analiza otrzymanego materiału wskazuje na to, że jest to rzeczywiście prawdziwa kopia bezpieczeństwa programu finansowo-księgowego należącego do placówki w Kiszyniowie.

Wskazują na to następujące fragmenty treści:

• ustawienia raportów,
• gotowe zapytania SQL zapisane w bazie do generowania raportów,
• opisy księgowanych dokumentów,
• słowniki,
• ustawienia wydruku poszczególnych raportów, z opisami kolejek drukarskich i stosowanego oprogramowania,
• położenie bibliotek dostępu do danych, zapisane w bazie.

Brak oryginalnego oprogramowania nie jest problemem, gdyż baza ma dość charakterystyczną strukturę, do której można się dostać za pomocą standardowych narzędzi programistycznych.

Jakie mogą być skutki wycieku

Prasa zazwyczaj jest ostatnim ogniwem, do którego docierają ukradzione informacje finansowe. Oznacza to, że informacje te znajdują się posiadaniu podmiotów zainteresowanych polską polityką zagraniczną. Kompletne finanse ambasady obcego państwa są bardzo łakomym kąskiem - być może plik ten krążył w obcych środowiskach od dawna, być może od stycznia bieżącego roku. Jeśli wyciekł na skutek działania złośliwego oprogramowania, to został skopiowany praktycznie natychmiast po utworzeniu.

Z samego pliku można wywnioskować coś więcej niż tylko finanse placówki. Jest tam informacja o wykorzystywanym oprogramowaniu, włącznie z wersjami, nazwy kolejek drukarskich, informacje o serwerach wydruku i parametrach, skąd można poznać konfigurację sieci w placówce (wiadomo które drukarki są podłączone do spoolera przez sieć, a które bezpośrednio do portu LPT). Analiza dokumentów finansowych umożliwia wskazanie pracowników i współpracowników ambasady, którzy mają wynajęte mieszkania, korzystają z usług medycznych, można znaleźć także informacje o kontrahentach świadczących stałe usługi. Jest to prawdziwa kopalnia wiedzy o działaniu placówki dyplomatycznej za granicą.

Jakie mogły być przyczyny wycieku

Bardzo prawdopodobną przyczyną może być działalność złośliwego oprogramowania. Jest to bardzo powszechne zagrożenie, gdyż według statystyk podawanych od trzech lat przez firmę RSA, średnio co trzeci komputer korporacyjny jest częścią jakiegoś botnetu. Być może ta sama własność dotyczy także komputerów w placówkach dyplomatycznych. Jest tam stosowany ten sam system operacyjny Windows, to samo oprogramowanie Microsoft Office (dowody są w samej treści bazy, włącznie z wersjami bibliotek Office'a).

Należy także wziąć pod uwagę czynnik ludzki. Prawdopodobnie ktoś chciał konsultować finanse placówki poza nią samą tuż przed bilansem. Wysłał zatem archiwum programu FKWIN nieszyfrowaną pocztą elektroniczną być może omyłkowo na niewłaściwy adres. Być może osoba stała się ofiarą jakiejś formy phishingu, być może wykorzystano przy tym podatność któregoś ze składników oprogramowania.

W każdym przypadku należy szukać przyczyn w niedostatecznym szkoleniu w dziedzinie bezpieczeństwa informacji w organizacji, być może szkolenia przeprowadzane przez oficera bezpieczeństwa Ambasady były niezrozumiałe albo niedostatecznie wyjaśniały przyczyny problemów i środki zaradcze. Nie wiemy również czy rzeczywiście w tej konkretnej placówce znajduje się oficer bezpieczeństwa, niemniej skala i waga przesłanych dokumentów sugerują istotne braki w szkoleniu personelu. Niezależnie od przyczyny, takie informacje absolutnie nie miały prawa wyjść poza sieć lokalną placówki.

Organizacje państwowe celem ataku

Informacje o włamaniach do różnych serwisów regularnie pojawiają się na łamach różnych portali, m.in. na stronie Niebezpiecznik.pl, gdzie 6 marca opublikowano informację o włamaniu do Kancelarii Prezesa Rady Ministrów. Wszędzie stosuje się podobne oprogramowanie, a zatem można było założyć, że włamanie do serwisów MSZ było jedynie kwestią czasu. Pozostaje ważne pytanie - czy MSZ posiada sprawnie działającą komórkę odpowiedzi na takie zagrożenia? Co robił oficer bezpieczeństwa w Ambasadzie?

Niedawno opisywaliśmy podziemną operację, która miała na celu penetrację placówek ministerstw spraw zagranicznych w różnych krajach (akcja ta została nazwana Czerwony Październik). Wszystko wskazuje na to, że do przełamania zabezpieczeń i wydostania danych z polskiej ambasady (a może z ambasad?) wcale nie były potrzebne aż tak skomplikowane środki.

Redakcja Tygodnika Computerworld nie zamierza publikować otrzymanego pliku, jest on obecnie przechowywany w zaszyfrowanej postaci, na bezpiecznym medium w kilku kopiach w różnych lokalizacjach. Po zakończeniu prac, zostanie on trwale skasowany.

Obecnie czekamy na odpowiedź Rzecznika Prasowego Ministerstwa Spraw Zagranicznych.