Ataki na polskie banki to część szerszego planu

Analizy ekspertów ds. bezpieczeństwa wskazują, że wykryty ostatnio atak na KNF i polskie banki jest tylko częścią planu, którego celem są instytucje finansowe na całym świecie.

Ostatnie ataki na polskie banki mogą być częścią szerszego planu hakerskiego, który przygotowano z myślą o wykradaniu danych z systemów informatycznych obsługujących instytucje finansowe na całym świecie. Potwierdzają to eksperci do spraw bezpieczeństwa pracujący w firmach BAE Systems, ESET i Symantec.

Według nich atak mógł być przygotowany przez grupę hakerską znaną pod nazwą Lazarus. Świadczy o tym zestaw narzędzi, które zostały zastosowane podczas ostatnich ataków. Są to identyczne narzędzia, jakie swego czasu miał w swoim arsenale Lazarus. Hakerzy z tej grupy atakują interesujące ich witryny WWW za pomocą techniki znanej pod nazwą „watering-hole”.

Zobacz również:

Podczas ostatnich włamań hakerzy posłużyli się nieznanym wcześniej malwarem (któremu Symantec nadał nazwę Downloader.Ratankba). Zaatakował on serwery mające określone adresy IP. Informatycy zidentyfikowali ponad 100 adresów IP, które są przypisane serwerom obsługującym systemy IT należące do ponad setki organizacji pracujących w 31 krajach. Były to w większości banki, ale znalazły się wśród nich również firmy telekomunikacyjne oraz dostawcy usług internetowych. Na liście tej znalazł się też numer IP serwera obsługującego polską instytucję finansową KNF (Komisja Nadzoru Finansowego). O ataku tym pisaliśmy wcześniej tutaj.

Na liście zidentyfikowano wiele adresów IP, w tym 19 przypisanych do serwerów zlokalizowanych w Polsce, 15 w USA, 9 w Meksyku, 7 w Wielkiej Brytanii i 6 w Chile.

Ataki zbadali też informatycy z firmy ESET. Potwierdzili oni, że chodzi o ataki typu „watering hole”. W atakach tego typu przejmuje się kontrolę nad stronami internetowymi, odwiedzanymi przez pewną wybraną grupę osób lub instytucje, które łączy podobny obszar działalności. Następnie wprowadza się, niezauważalnie dla użytkownika modyfikacje stron WWW, by mogły infekować komputery kolejnych odwiedzających złośliwym oprogramowaniem.

Modyfikacja wprowadzona na stronie Komisji Nadzoru Finansowego miała za zadanie przekierować przeglądarkę odwiedzającego do złośliwej strony, na której znajdował się „exploit”, a więc specjalnie przygotowany kod usiłujący wykorzystać lukę (podatność) w oprogramowaniu zainstalowanym na komputerze odwiedzającego.

Pomyślne wykonanie kodu tego exploita skutkowało instalacją złośliwego oprogramowania, składającego się z trzech komponentów: tzw. „droppera”, który służy do uruchomienia kolejnych dwóch komponentów; tzw. „loadera”, który odpowiada za załadowanie ostatniego komponentu, czyli „modułu”; oraz „modułu”, w którym zawarte są kluczowe funkcjonalności, przede wszystkim możliwość szyfrowanej komunikacji ze zdalnym serwerem, za pomocą którego atakujący może wydawać polecenia wykonania kolejnych działań przez szkodliwy program.

Uwagę ekspertów zwróciły polecenia zaszyte w kodzie programu, będące odpowiednikami rosyjskich słów po transliteracji z cyrylicy do łaciny. Jednak użyty język niekoniecznie świadczy o narodowości twórcy. Być może to sam twórca malware starał się skierować uwagę śledczych na fałszywy trop.