Czy strona KNF infekowała banki?

Z powodu luki w systemie mogło dojść do gigantycznej kradzieży – twierdzą specjaliści od bezpieczeństwa.

W lutym ubiegłego roku hakerzy próbowali ukraść z Centralnego Banku Bangladeszu niemal miliard dolarów. Nie udało im się, bo zrobili literówkę w nazwie jednego z adresatów przelewu. Dzięki temu udało się zidentyfikować atak i wstrzymać kolejne transakcje. Jednak kwota, która udało się ukraść – 81 mln dolarów – i tak jest jedną z najwyższych w historii. Zdaniem specjalizującej się w bezpieczeństwie firmy Prevenity taki scenariusz był realny także w Polsce.

– Intruzi prawdopodobnie czekali na dogodny moment, by jednocześnie dokonać wielu przelewów z systemu transakcyjnego SWIFT – mówi wiceprezes Prevenity Mariusz Burdach. Jego firma opublikowała właśnie szczegółowy raport o niedawnym włamaniu do polskich banków, uznawanym za największe od lat.

Pierwsze informacje o ataku pojawiły się w lutym w portalu ZaufanaTrzeciaStrona.pl. Ministerstwo Cyfryzacji i Komisja Nadzoru Finansowego (KNF) potwierdziły, że intruzi przeniknęli do kilku banków, których nazw dotąd nie upubliczniono. Od początku eksperci podejrzewali, że hakerzy zastosowali tzw. metodę wodopoju, a źródłem infekcji była odwiedzana przez bankowców strona internetowa KNF.

Tę informację potwierdza raport Prevenity. „Atak rozpoczął się w październiku 2016 roku od uzyskania nieuprawnionego dostępu do serwera www.knf.gov.pl" – piszą inżynierowie firmy. Wyjaśniają, że przestępcy dokleili fragment kodu przekierowujący osoby odwiedzające stronę KNF na jeden z dwóch serwerów opanowanych przez intruzów.

– Serwery infekujące weryfikowały adres IP komputera odwiedzającego stronę KNF, by sprawdzić, czy należy on do banku – mówi Mariusz Burdach. Dodaje, że w przypadku pomyślnej weryfikacji następowała próba infekcji z wykorzystaniem luk w nieaktualizowanym oprogramowaniu.

Z raportu Prevenity wynika, że po przeniknięciu do systemu informatycznego banku intruzi starali się uzyskać status administratora. – Próbowali ulokować się w takim miejscu, by jak najdłużej nie zostać wykryci. Co jakiś czas sprawdzali, czy mają dostęp do systemu – dodaje Burdach.

Co najmniej z jednego banku hakerzy wykradli kilka gigabajtów informacji, jednak zdaniem Prevenity aktywność intruzów była niewielka. Firma przekonuje, że może być to dowodem potwierdzającym tezę, że po zainfekowaniu większej liczby banków przestępcy zamierzali wykonać jednocześnie wiele przelewów.

Podobne wnioski płyną z raportów firm Kaspersky Lab i Symantec, które atak na polskie banki przypisują grupie Lazarus, związanej najprawdopodobniej z reżimem północnokoreańskim. Oprócz kradzieży w Bangladeszu ma ona na swoim koncie włamania do m.in. banków i kasyn w kilkunastu innych krajach.

Burdach nie zgadza się jednak z pojawiającą się często tezą, że atak był wyrafinowany. – Intruzi korzystali ze znanych od miesięcy luk, a złośliwe oprogramowanie było zabezpieczone algorytmem prostym do odszyfrowania – wylicza.

Dlaczego więc doszło do ataku? Zdaniem specjalistów był możliwy wskutek prostych zaniechań Komisji Nadzoru Finansowego, która miesiącami nie aktualizowała swojego oprogramowania.

Tej informacji nie potwierdza rzecznik KNF Jacek Barszczewski. – Dobro śledztwa, które prowadzi prokuratura i ABW, wymaga od nas niekomentowania doniesień dotyczących ataku – mówi.

Niski poziom zabezpieczeń KNF jest jednak wśród specjalistów tajemnicą poliszynela. – Pamiętam, że niedawno KNF, szukając firmy do testowania systemów, za główne kryterium uznała cenę. Mamy tego efekty – mówi anonimowo prezes jednej z firm. Inny ze specjalistów twierdzi, że lekceważące podejście do bezpieczeństwa jest bolączką niemal całej administracji. – Zupełnie nie rozumiem, dlaczego rząd wzorem innych państw nie wdroży tzw. programu bug bounty, czyli szukania dziur przez niezależnych ekspertów – mówi.

Na razie KNF twierdzi, że podobny atak nie byłby już możliwy. – Wdrożyliśmy nowe mechanizmy zabezpieczające i przeprowadzaliśmy audyt – podkreśla Barszczewski.

masz pytanie, wyślij e-mail do autora: w.ferfecki@rp.pl