Raport Specjalny Horyzonty Bankowości 2017: Na celowniku cyberszpiegów

Mariusz Malinowski

„Od ponad tygodnia polski sektor bankowy walczy z bardzo skutecznymi włamywaczami. Nieznani sprawcy uzyskali jakiś czas temu dostęp do stacji roboczych oraz serwerów w co najmniej kilku bankach i wykradli z nich dane. Wszystko wskazuje na to, że mamy do czynienia z najpoważniejszym ujawnionym atakiem na infrastrukturę krytyczną oraz sektor bankowy w historii naszego kraju” – zaalarmował 3 lutego serwis zaufanatrzeciastrona.pl.

Z informacji, do których dotarli eksperci serwisu, wynikało, że był to atak ukierunkowany na polską sieć bankową, a kilka instytucji wykryło w swojej infrastrukturze bardzo niebezpieczne złośliwe oprogramowanie, z którym wcześniej nie poradziły sobie ich systemy bezpieczeństwa. Zdaniem serwisu zaufanatrzeciastrona.pl przestępcy przeniknęli do wnętrza bankowej sieci co najmniej kilka tygodni wcześniej, a w niektórych wypadkach mogli po niej buszować nawet od jesieni 2016 r.

„W Urzędzie Komisji Nadzoru Finansowego zidentyfikowana została próba ingerencji z zewnątrz w system informatyczny obsługujący stronę internetową www.knf.gov.pl. Wewnętrzne systemy raportowania przez podmioty nadzorowane funkcjonują niezależnie od systemu informatycznego obsługującego stronę internetową i pozostają bezpieczne. Prace Urzędu przebiegają w sposób niezakłócony. W sprawie tej zostało złożone zawiadomienie do właściwych organów ścigania, z którymi Urząd ściśle współpracuje. Strona internetowa www.knf.gov.pl została wyłączona przez administratorów z UKNF w celu zabezpieczenia materiału dowodowego. Urząd pozostaje w bieżącym kontakcie z przedstawicielami nadzorowanych sektorów, w tym bankowego, których działalność nie jest w żadnym stopniu zagrożona” – podała KNF.

Komunikat natychmiast został złośliwe skomentowany przez serwis zaufanatrzeciastrona.pl. „Bardzo lubimy to, że >>włamano się na naszą stronę w październiku, zmieniono jej zawartość<< i >>zareagowaliśmy w lutym<< po tym, jak ktoś nas porządnie szturchnął. Ujmują wręcz słowa: >>zidentyfikowana została próba ingerencji z zewnątrz w system informatyczny obsługujący stronę internetową<<” – napisano.

Nie chodziło o pieniądze

Od samego początku eksperci podkreślają, że lutowy atak na banki od innych wykrytych wcześniej w Polsce akcji hakerskich odróżnia to, że atakowano infrastrukturę bankową, a nie próbowano się dobrać do pieniędzy klientów.

– Do ataku wykorzystano wyrafinowane oprogramowanie złośliwe, które infekowało serwery i stacje robocze wewnątrz sieci bankowej. Cel infekcji nie jest jasny, można przypuszczać, że po włamaniu na stacje końcowe lub serwery można właściwie robić wszystko: wykradać informacje o klientach, transakcjach, atakować połączone fragmenty sieci bankowej – wymienia Marcin Ludwiszewski, dyrektor obszaru cyberbezpieczeństwa w Deloitte.

Zdaniem ekspertów ds. bezpieczeństwa połączenie ataku na sektor bankowy i zastosowanie wyrafinowanego oprogramowania złośliwego, wskazują, że w lutym mieliśmy do czynienia z APT (ang. Advanced Persistent Threats). Są to złożone, długotrwałe i wielostopniowe ataki skierowane przeciwko konkretnym osobom, firmom lub instytucjom. Cyberprzestępcy potrafią miesiącami zbierać informacje o pracownikach jakiejś organizacji, poznając ich mocne i słabe strony. Uderzają, gdy mają pewność, że atak na pewno się powiedzie. A wówczas nie ma już co zbierać.

Wykorzystywane przez cyberszpiegów programy i narzędzia są tworzone i użytkowane w sposób minimalizujący szansę wykrycia ich aktywności. Dlatego też mogą bez żadnych przeszkód wykradać informacje tygodniami, a nawet miesiącami. Incydenty APT najczęściej są motywowane politycznie lub biznesowo, a przeprowadzają je profesjonalne grupy hakerskie współpracujące ze służ...