Hakerzy zainteresowani byli danymi, a nie pieniędzmi

- Atak na polski sektor bankowy, w tym na – nieczynną od kilkunastu godzin - stronę internetową Komisji Nadzoru Finansowego, wyglądał na bardzo zaawansowany i skoordynowany, a jego skala to najbardziej interesująca część. Można przypuszczać, że wektorem ataku był popularnie używany komponent, jak np. przeglądarka internetowa, dokument w formacie .pdf, system operacyjny lub podatne urządzenie z infrastruktury sieciowej – komentuje Leszek Tasiemski, VP, Rapid Detection Center w firmie F-Secure.

Jego zdaniem atak wyglądał na bardzo zaawansowany i skoordynowany, a jego skala to najbardziej interesująca część.

- Można przypuszczać, że wektorem ataku był popularnie używany komponent, jak np. przeglądarka internetowa, dokument w formacie .pdf, system operacyjny lub podatne urządzenie z infrastruktury sieciowej. Przede wszystkim interesujące jest to, czy organizacje odkryły atak w tym samym czasie (i w jaki sposób) oraz od jak dawna ten atak był prowadzony

– twierdzi Tasiemski.

Ekspert przekonuje, że możliwe, że atak (wyprowadzanie danych) był przeprowadzony w sposób skoordynowany, a na skutek błędu lub nieostrożności „wypłynął” w jednej instytucji, która zaalarmowała pozostałe. - Najbardziej skuteczne i zaawansowane ataki trwają latami, są odpowiednio zakamuflowane i nie zostawiają (łatwych do odkrycia) śladów. Istotnym pytaniem jest to, jak banki dowiedziały się o ataku – uważa Tasiemski. - Standardowo zadajemy takie pytanie jako jedno z pierwszych podczas przeprowadzania procedury Incident Response. Sposób wykrycia ataku może powiedzieć bardzo wiele o jego dynamice i wektorach.

Na pytanie, komu mogło zależeć na dostępie do tych danych, ekspert wyjaśnia:

Dane osobowe, finansowe są cenne. Na czarnym rynku (…) mają konkretną cenę. Skoro nie mamy informacji, że zginęły pieniądze to nasuwają się dwie możliwości: albo przestępcy nie zdążyli dojść do tej fazy ataku, co jest mało prawdopodobne, albo zainteresowani byli danymi, a nie pieniędzmi. Dane (wrażliwe, osobowe, finansowe) mają wartość pieniężną, ale jeszcze ciekawsze mogą być dla instytucji wywiadowczych, więc ta opcja jest możliwa – zwłaszcza biorąc pod uwagę skalę ataku i prawdopodobnie związane z nim koszty.

W opinii Tasiemskiego atak na witrynę KNF nic nie oznacza z punktu widzenia bezpieczeństwa państwa. - Zazwyczaj witryny są „hostowane” zupełnie osobno od ważnych danych. To dobra praktyka. Co prawda atak na witrynę jest zawsze nagłaśniany i spektakularny, ale praktyczny rezultat jest (poza naruszonym wizerunkiem) niewielki – dodaje ekspert.

W jego opinii jeśli rzeczywiście źródłem infekcji była strona KNF, to może również oznaczać, że mamy do czynienia z powszechnym (ale niewykrywanym przez oprogramowanie ochronne) złośliwym oprogramowaniem, które zupełnie przypadkiem, ze względu na specyfikę serwera KNF, zainfekowało komputery w bankach. - To jednak optymistyczny scenariusz – twierdzi Tasiemski. - Należałoby przeanalizować dokładnie logi ruchu sieciowego z zainfekowanych systemów, żeby zobaczyć, jakie aktywności to złośliwe oprogramowanie podejmowało i na ile było specyficzne.

 

Źródło: niezalezna.pl

#KNF #hakerzy