Czy mieliśmy właśnie zmasowany, groźny cyberatak na sektor finansowy?
To co odróżnia ten atak od innych, o których zwykle słyszeliśmy w mediach, to kwestia celu – nie byli nim klienci banków, ale same banki – atakowano bezpośrednio infrastrukturę bankową. Do ataku wykorzystano wyrafinowane oprogramowanie złośliwe, które infekowało serwery i stacje robocze wewnątrz sieci bankowej. Cel infekcji nie jest jasny, możemy przypuszczać, że po włamaniu na stacje końcowe lub serwery można właściwie robić wszystko – wykradać informacje o klientach, transakcjach, atakować połączone fragmenty sieci bankowej (np. sieć sterowania bankomatami, itd.).
Połączenie ataku na sektor bankowy (infrastruktura krytyczna), jak również stosowanie wyrafinowanego oprogramowania złośliwego, mają znamiona ataku APT (zwykle wykonywane przez motywowane politycznie lub biznesowo grupy hakerskie lub służby specjalne przy zastosowaniu zaawansowanych narzędzi, specjalistycznej wiedzy i z założeniem długotrwałego ukrycia w systemie ofiary). Pytanie oczywiście, jaki był prawdziwy motyw działania i czy sektor bankowy rzeczywiście był celem. Jednocześnie nie jest jasny do końca wektor ataku (sposób przekazania wirusa do sieci bankowej) – czy był to zwykły phishing na pracowników banku przekierowujący do strony ze złośliwym oprogramowaniem lub posiadający załącznik, czy wykorzystano podatności 0 day lub również charakterystyczny dla ataków APT tzw. watering hole (atak na organizację poprzez zaufaną witrynę lub serwer – do których wcześniej się włamano i zainstalowano złośliwe skrypty infekujące odwiedzających stronę). Warto więc zadać pytanie, czy do ataków na banki nie wykorzystano potencjalnie bezpiecznych stron lub serwerów innych organizacji. W tym kontekście zastanawiająca jest trwająca od dwóch dni konserwacja strony Urzędu Komisji Nadzoru Finansowego.
Analizując tego typu ataki trzeba brać pod uwagę, że złośliwe oprogramowanie (mimo iż ukierunkowane na konkretne cele), może powodować straty również w innych firmach, które niejako dostaną rykoszetem i zostaną zainfekowane oprogramowaniem złośliwym przypadkowo. Skutkuje to ekspozycją firmy na zagrożenia kradzieży lub utraty danych, szantażu, a nawet potencjalnie kary regulacyjne (np. w kontekście nowych przepisów dotyczących danych osobowych wynikających z unijnej dyrektywy GDPR – nakładających wysokie kary za ich naruszenie). Mają to na uwadze warto zwracać uwagę nie tylko na prewencję, ale również zdolności wykrywania potencjalnych zagrożeń a także posiadać zdolności w zakresie reagowania na incydenty i regularnie testowanie organizację pod kątem ataków sieciowych socjotechnicznych i fizycznych.
Jednocześnie warto pamiętać, że banki i służby na bieżąco zbierają informacje o zagrożeniach ze źródeł otwartych i zamkniętych, tj. profilują osoby/podmioty, które za takimi zagrożeniami stoją, ich metody działania i oczywiście analizuję inne elementy związane z ich działalnością. Jednocześnie cały czas poprawiany jest obieg informacji o zagrożeniach. Dlatego, informacja o atakach na sektor bankowy w Polsce, nawet w dużej skali i o charakterystyce, nie jest niczym nowym dla banków, podobnie jak ataki na infrastrukturę krytyczną państwa dla ABW. Dlatego należy zachować spokój w kwestii oceny skutków tego zdarzenia i być spokojnym o swoje pieniądze. W ostatnich latach infrastruktura krytyczna jest szczególnie narażona na ataki grup hakerskich powiązanych z rządami różnych państw.
Do powszechnego obiegu weszły nazwy grup powiązanych z rządami – APT 28 (Rosja), PLA 61938 (Chiny), Equation Group (USA), które dysponują dużą wiedzą techniczną oraz nakładami finansowymi umożliwiającymi prowadzenie długoterminowych działań w celu szpiegostwa przemysłowego lub sabotażu. Jednocześnie grupy przestępcze również coraz bardziej zbliżają się do tego poziomu – np. grupa Carbanak.
Marcin Ludwiszewski, lider obszaru cyberbezpieczeństwa
Deloitte