Polska na celowniku

Choć Polski nie ma na liście krajów, które zostały ucierpiały w wyniku operacji Czerwony Październik, nie oznacza to, że atak nas ominął. Z dużą dozą prawdopodobieństwa można stwierdzić, że byliśmy przynajmniej jednym z celów.

ABW milczy, MAiC nie odpowiada

Zbierając informacje do tego tekstu, próbowaliśmy dowiedzieć się, czy Czerwony Październik uderzył w komputery polskiej administracji państwowej. Zwróciliśmy się z trzema pytaniami do Agencji Bezpieczeństwa Wewnętrznego oraz Ministerstwa Administracji i Cyfryzacji:

1. Czy w polskiej domenie internetowej GOV.PL odnotowane zostały ataki dedykowane związane z opisaną operacją Red October?

2. Czy oprócz wspomnianego w pytaniu (1) ataku odnotowywane są inne przypadki ataków na polską domenę rządową GOV.PL?

3. Jak wygląda zdolność administracji państwowej do wykrycia tego typu ataków, zapobieżenia im i skutecznej reakcji w przypadku ich wystąpienia?

Żadna z instytucji nie odpowiedziała.

W całej operacji jest wyraźny ślad związany z naszym krajem. Wśród plików, które były rozsyłane do potencjalnych ofiar, jeden nazwano "Katyn_-_opinia_Rosjan.xls" (wartość MD5: bd05475a538c996cd6cafe72f3a98fae). Plik ten zawierał, podobnie jak inne wykorzystywane w operacji, złośliwy kod, który instalował na komputerze ofiary pełnego trojana. Dlatego z niemal całkowitą pewnością można stwierdzić, że polscy użytkownicy byli jednym z celów ataku. Język polski jest też na liście 17 języków, które były interesujące dla atakujących. Taka lista została zaszyta w kodzie atakującego złośliwego oprogramowania.

W Polsce też mogło dojść do infekcji

Fakt, że na mapie opublikowanej przez Kaspersky Lab obszar Polski został oznaczony jako "brak infekcji", wcale nie znaczy, że tak rzeczywiście jest. Opublikowane wyniki zawierają tylko część danych, bo opierają się na dwóch źródłach. Pierwszym z nich jest firmy , drugim zaś analiza ruchu połączeń przejętych przez serwery C&C (command and control) w Kaspersky Lab. Warto zastanowić się, jaką częścią ogółu informacji dysponował zatem Kaspersky.

Jeśli chodzi o pierwsze źródło, oprogramowanie antywirusowe, decydujący jest stopień jego rozpowszechnienia na rynku. Według raportu OPSWAT za grudzień 2012, programy Kaspersky Lab stanowią zaledwie 5,7% rynku . Firma i tak nie ma pełnej wiedzy o skali infekcji w tej grupie, bo otrzymuje informacje tylko od tych użytkowników, którzy wyrazili na to zgodę. Można więc stwierdzić, że uzyskana tą metodą wiedza firmy Kaspersky dotyczy jedynie marginesu całego rynku i nie powala przesądzić o tym, czy w danym kraju doszło do infekcji czy nie.

Drugim źródłem danych o infekcjach jest analiza połączeń do serwerów kontrolujących przestępczą sieć. Tu sytuacja wygląda podobnie. W trakcie analizy wykryto 60 takich serwerów, ale jak stwierdził Costin Raiu z Kaspersky Lab, "może ich być o kilkadziesiąt więcej". Tylko sześć z nich (shellupdate.com, msgenuine.net, microsoft-msdn.com, windowsonlineupdate.com, dll-host-update.com, windows-genuine.com) udało się przejąć. Dlatego podobnie jak w przypadku oprogramowania antywirusowego dane mogą obejmować co najwyżej kilka procent wszystkich przypadków.

Zagrożone ambasady

Warto również zwrócić uwagę na fakt, że polskie istotne zasoby sieciowe nie ograniczają się do komputerów i sieci usytuowanych wyłącznie w kraju. Pozostają jeszcze istotne komputery podłączone do sieci dostawców internetu poza granicami naszego kraju. Tak może być w przypadku polskich ambasad. A wśród 56 krajów zaatakowanych w operacji Czerwony Październik aż 51 stanowią te, gdzie ataki odnotowano właśnie w ambasadach państw trzecich. To dość symptomatyczne i warto z tego wyciągnąć z tego wnioski. Widać, że placówki dyplomatyczne, często oderwane od sieci informatycznej własnego państwa, narażone są na duże niebezpieczeństwo i stanowią słaby punkt w systemie ochrony.

Już 14 stycznia, kiedy pojawił się pierwszy raport na temat operacji Red October, infrastruktura wykorzystywana przez przestępców zaczęła być likwidowana. To nie pierwszy przypadek takiego postępowania atakujących i trochę szkoda, że Kaspersky Lab nie zdecydował się na bardziej skoordynowaną akcję prowadzącą do identyfikacji większej liczby ofiar przed ujawnieniem szczegółów operacji. Widocznie rywalizacja na wyjątkowo konkurencyjnym rynku programów antywirusowych wzięła górę i postawiono na promocję swoich kompetencji analitycznych, a te związane z reagowaniem na incydenty odsunięto na bok.


TOP 200