Rosjanie szykują się na polskie banki?

Coraz więcej wiemy o kulisach ataku na polskie banki, który miał miejsce na początku bieżącego roku. Okazuje się, że ślad prowadzi do Rosji...

Obraz
Źródło zdjęć: © Pixabay.com

Atak, o którym mowa miał miejsce na początku lutego, kiedy na stronie internetowej Komisji Nadzoru Finansowego pojawił się komunikat o pracach serwisowych. Jak się później okazało, informacja nie była spowodowana problemami ze stroną, a efektem ataku, który został okrzyknięty największym atakiem na polski sektor bankowy.

- Atak, w którym odwiedzający stronę Komisji Nadzoru Finansowego, mógł zostać zainfekowany złośliwym oprogramowaniem, zaliczamy do ataków kategorii „watering hole attack” – mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET. – W atakach tego typu przejmuje się kontrolę nad stronami internetowymi, odwiedzanymi przez pewną wybraną grupę osób lub pewne wybrane instytucje, które łączy podobny obszar działalności. Następnie wprowadza się, niezauważalnie dla samego użytkownika, takie modyfikacje w tych stronach WWW, by mogły infekować komputery kolejnych odwiedzających złośliwym oprogramowaniem.

Modyfikacja wprowadzona na stronie Komisji Nadzoru Finansowego miała za zadanie przekierować przeglądarkę odwiedzającego do złośliwej strony, na której znajdował się „exploit”, a więc specjalnie przygotowany kod usiłujący wykorzystać lukę w oprogramowaniu zainstalowanym na komputerze odwiedzającego. Pomyślne wykonanie tego kodu skutkowało instalacją na komputerze odwiedzającego złośliwego oprogramowania, składającego się z trzech komponentów:

- „dropper” – służył do uruchomienia kolejnych komponentów, wykorzystanych w ataku, z których jeden zmieniał konfigurację systemu operacyjnego na komputerze ofiary (osoby odwiedzającej stronę KNF), tak by złośliwy program był uruchamiany podczas startu systemu.
- „loader” – dropper odszyfrowuje loadera i go uruchamia, natomiast loader odpowiada za załadowanie ostatniego komponentu, tzw. „modułu”.
- „moduł” – to w nim zawarte zostały kluczowe funkcjonalności, przede wszystkim możliwość szyfrowanej komunikacji ze zdalnym serwerem, za pomocą którego atakujący wydaje zagrożeniu polecenia.

Czy za atakiem stoją Rosjanie?

Podczas badania analitycy ESET natrafili na jeszcze jedną próbkę należącą do tej samej rodziny złośliwego oprogramowania, wykorzystanego w ataku na polski sektor bankowy. Uwagę ekspertów zwróciły polecenia zaszyte w kodzie programu, będące odpowiednikami rosyjskich słów po transliteracji z cyrylicy do łaciny. Warto podkreślić, że użyty język niekoniecznie świadczy o narodowości twórcy. Być może sam twórca starał się skierować uwagę śledczych na fałszywy trop – może o tym świadczyć długość poleceń, jakie zaprogramował w zagrożeniu twórca. Obsługa zagrożenia poprzez przesyłanie do niego długich komend wydaje się ekspertom niepraktyczna, łatwiej byłoby posłużyć się np. skrótami.

Analiza wybranych fragmentów kodów zagrożenia pozwala wyciągnąć wniosek, że wykorzystane w ataku zagrożenie nie istniało na długo przed ostatnimi atakami na polskie banki. Mogło zatem powstać z myślą o konkretnym działaniu – ataku na konkretne instytucje.

Jeśli jesteście zainteresowani dokładną analiza tematu ataku na polski sektor bankowy, znajdziecie ją w tym artykule, w jezyku angielskim.

Wybrane dla Ciebie
Grzyb, który kontroluje ciała. Zamienia mrówki w zombie
Grzyb, który kontroluje ciała. Zamienia mrówki w zombie
Rosjanie chwalą "nową" rakietę. Pamięta tragedię WTC
Rosjanie chwalą "nową" rakietę. Pamięta tragedię WTC
Nowe badania zmieniają ich obraz. Co naprawdę jedli neandertalczycy?
Nowe badania zmieniają ich obraz. Co naprawdę jedli neandertalczycy?
"Latająca bomba" Hitlera. To prekursor dronów-samobójców
"Latająca bomba" Hitlera. To prekursor dronów-samobójców
Niemiec o wojnie w Ukrainie. "Będę walczyć do końca"
Niemiec o wojnie w Ukrainie. "Będę walczyć do końca"
Chińczycy będą chronić swoje jednostki. Pokazali czym
Chińczycy będą chronić swoje jednostki. Pokazali czym
Eksperci ostrzegają: USA z lukami w obronie. Wskazali słaby punkt
Eksperci ostrzegają: USA z lukami w obronie. Wskazali słaby punkt
Odmawiają Izraelowi. Wydadzą pieniądze inaczej
Odmawiają Izraelowi. Wydadzą pieniądze inaczej
Polują na ukraińskie drony. Chcą zrobić nieskuteczną broń skuteczną
Polują na ukraińskie drony. Chcą zrobić nieskuteczną broń skuteczną
Rosjanie użyli nowych bomb. Zostały one znacząco zmodyfikowane
Rosjanie użyli nowych bomb. Zostały one znacząco zmodyfikowane
Ta bakteria "udaje martwą". NASA przypadkiem wysłała ją na Marsa
Ta bakteria "udaje martwą". NASA przypadkiem wysłała ją na Marsa
Wsparcie dla Talibów. Przychodzi od sojusznika Putina
Wsparcie dla Talibów. Przychodzi od sojusznika Putina
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟