Deprecated: Creation of dynamic property ACF::$fields is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields.php on line 138

Deprecated: Creation of dynamic property acf_loop::$loops is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/loop.php on line 28

Deprecated: Creation of dynamic property ACF::$loop is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/loop.php on line 269

Deprecated: Creation of dynamic property ACF::$revisions is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/revisions.php on line 397

Deprecated: Creation of dynamic property acf_validation::$errors is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/validation.php on line 28

Deprecated: Creation of dynamic property ACF::$validation is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/validation.php on line 214

Deprecated: Creation of dynamic property acf_form_customizer::$preview_values is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-customizer.php on line 28

Deprecated: Creation of dynamic property acf_form_customizer::$preview_fields is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-customizer.php on line 29

Deprecated: Creation of dynamic property acf_form_customizer::$preview_errors is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-customizer.php on line 30

Deprecated: Creation of dynamic property ACF::$form_front is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-front.php on line 598

Deprecated: Creation of dynamic property acf_form_widget::$preview_values is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-widget.php on line 34

Deprecated: Creation of dynamic property acf_form_widget::$preview_reference is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-widget.php on line 35

Deprecated: Creation of dynamic property acf_form_widget::$preview_errors is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/forms/form-widget.php on line 36

Deprecated: Creation of dynamic property KS_Site::$pingback is deprecated in /home/sarotaq/crn/wp-content/plugins/timber-library/lib/Site.php on line 180

Deprecated: Creation of dynamic property acf_field_oembed::$width is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields/class-acf-field-oembed.php on line 31

Deprecated: Creation of dynamic property acf_field_oembed::$height is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields/class-acf-field-oembed.php on line 32

Deprecated: Creation of dynamic property acf_field_google_map::$default_values is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields/class-acf-field-google-map.php on line 33

Deprecated: Creation of dynamic property acf_field__group::$have_rows is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/includes/fields/class-acf-field-group.php on line 31

Deprecated: Creation of dynamic property acf_field_clone::$cloning is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/pro/fields/class-acf-field-clone.php on line 34

Deprecated: Creation of dynamic property acf_field_clone::$have_rows is deprecated in /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/pro/fields/class-acf-field-clone.php on line 35

Deprecated: Creation of dynamic property Timber\Integrations::$wpml is deprecated in /home/sarotaq/crn/wp-content/plugins/timber-library/lib/Integrations.php on line 33

Warning: Cannot modify header information - headers already sent by (output started at /home/sarotaq/crn/wp-content/plugins/advanced-custom-fields-pro/pro/fields/class-acf-field-clone.php:34) in /home/sarotaq/crn/wp-includes/feed-rss2.php on line 8
- CRN https://crn.sarota.dev/tag/rcb/ CRN.pl to portal B2B poświęcony branży IT. Dociera do ponad 40 000 unikalnych użytkowników. Jest narzędziem pracy kadry zarządzającej w branży IT w Polsce. Codziennie nowe informacje z branży IT, wywiady, artykuły, raporty tematyczne Fri, 07 Apr 2017 13:14:00 +0000 pl-PL hourly 1 https://wordpress.org/?v=6.6.2 RCB: „Atak się powiódł” https://crn.sarota.dev/aktualnosci/atak-sie-powiodl/ https://crn.sarota.dev/aktualnosci/atak-sie-powiodl/#respond Fri, 07 Apr 2017 13:14:00 +0000 https://crn.pl/default/atak-sie-powiodl/ Rządowe Centrum Bezpieczeństwa opublikowało analizę ataku na polskie banki. "Popełniono wiele błędów" - alarmuje RCB.

Artykuł RCB: „Atak się powiódł” pochodzi z serwisu CRN.

]]>
Na początku lutego poinformowano, iż w polskich bankach (nieoficjalnie w ponad 20) wykryto groźne oprogramowanie, które niezauważone przez tygodnie lub miesiące penetrowało infrastrukturę krytyczną instytucji. Większość banków nabrała wody w usta i nie ujawnia skutków ataków. Był on największym w historii polskiej bankowości.

"Atak się powiódł, gdyż popełniono wiele błędów" – podsumowało wyniki analizy Rządowe Centrum Bezpieczeństwa. 

Wymienia kilka przyczyn tego stanu rzeczy: utrzymywano serwis informacyjny w środowisku aplikacyjnym, które było podatne na ataki, zignorowano ostrzeżenia, iż strona KNF zawiera zatruty kod źródłowy, utrzymano komputery z nieaktualnym i podatnym oprogramowaniem, nie monitorowano ruchu sieciowego z infrastruktury zawierającej chronione informacje.

W ocenie jednostki zajmującej się cyfrowym bezpieczeństwem trudno jednoznacznie wskazać, kto dokonał ataku i dlaczego. Trudno też jednoznacznie stwierdzić, jaki był cel hakerów.

"Stopień zaawansowania oraz techniki operacyjne nie są typowe dla cyberprzestępców, którzy kierują się kryterium finansowym w swoich atakach." – uważa RCB.

Symantec jest pewny, że to grupa Lazarus kojarzona z Koreą Płn. Są też ślady wskazujące na rosyjskojęzycznych hackerów, jednak ten trop uznano jako próbę wprowadzenia w błąd.

Według analizy RCB, co potwierdza wcześniejsze ustalenia, atak zaczął się od strony Komisji Nadzoru Finansowego. Została „zatruta” – jak to określa centrum – to znaczy wykorzystując nieaktualizowaną aplikację strony umieszczono w niej dodatkowy kod, który był wykonywany na każdym komputerze odwiedzającym daną stronę. W ten sposób banki zarażały się groźnym oprogramowaniem, komunikując się ze stroną KNF. Tego typu dystrybucja nosi nazwę metody wodopoju (watering hole). 

Banki założyły bez weryfikacji, że skoro KNF opracowuje, egzekwuje oraz kontroluje standardy (w tym bezpieczeństwo) w podmiotach mu podległych, to on sam będzie bezpieczny. 

Serwis informacyjny KNF był zainfekowany od 5 października 2016 roku do 2 lutego 2017 r. W serwisie zmodyfikowano kod JavaScript, który nakłaniał każdy komputer gościa do pobrania i uruchomienia skryptu ze złośliwego serwera. Skrypt ten weryfikował czy ofiara stanowi cel jaki wyznaczył sobie atakujący, a dokładniej czy jego adres IP należy do grup adresowych, które były celem. Tutaj trzeba zauważyć, że atakujący wcześniej przeprowadził rekonesans i uzyskał informacje o swojej ofierze (instytucji finansowej, banku). 

"Atak nie był przeprowadzany metodą na chybił trafił, tylko dokładnie zaplanowany. Co więcej, przeprowadzano również weryfikacje, czy aktualnie atakowana sieć nie znajduje się na liście zakazanych sieci, aby jak najdłużej uniknąć wykrycia ataku." – informuje rządowy ośrodek.

Jeżeli ofiara nie wykryła ataku, następowało pobranie ze złośliwego serwera jednego z czterech exploitów, które wykorzystywały znane podatności we wtyczce Silverlight oraz wtyczce Flash w przeglądarce internetowej. Jak ustaliło RCB, podatności, które zostały wykorzystane w ataku, ujawniono już w 2015 r. w kwietniu 2016 roku i znane były poprawki, ale polskie instytucje nie zastosowały ich. 

Wykonanie eksploita pozwalało hakerom na uzyskanie dostępu do systemu komputera ofiary pobranie oraz automatyczne uruchomienie narzędzi służących do zbierania informacji o kontrolowanym środowisku i przekazaniu ich na serwer przestępców.  

Hakerzy mogli swobodnie penetrować polskie banki:
"Intruz praktycznie kontrolował zaatakowane środowisko, zabezpieczenia techniczne zostały przełamane lub ominięte. Złośliwy program sterowany był zdalnie przez przestępcę komendami, które między innymi pozwalały na przeglądanie zasobów komputera i sieci, komunikację z innymi zainfekowanymi komputerami, zaszyfrowanie kopii interesujących plików, po czym wysłanie ich na zdalny serwer." – ustaliło RCB.

Według ośrodka w tej chwili trudno ocenić czy była to końcowa faza ataku. Możliwe, że chodziło tylko o przygotowanie do innego ataku, np. takiego, którego skutkiem mogło być wytransferowanie pieniędzy z banków.

Wnioski RCB są następujące:

– konieczność znaczącej poprawy współpracy i wymiany informacji między instytucjami i podmiotami prywatnymi i zewnętrznymi.

– prowadzenie działań proaktywnych oraz weryfikacja zabezpieczeń.

– wdrażanie i stałe stosowanie polityk bezpieczeństwa, norm, standardów (m.in. budowanie bezpiecznych architektur, wdrażanie rozwiązań klasy Security by Design, Defense in Depth).

– przygotowanie oraz przetestowanie procedur związanych z incydentami

– w skali ogólnopolskiej powinien powstać Plan Reagowania na Incydenty Komputerowe (Incident Response Plan – IRP).

"Nie można pozostawić żadnego obszaru poza kontrolą bezpieczeństwa, gdyż nawet na pozór nieistotne miejsca w cyberprzestrzeni mogą stanowić punkt wejściowy do ataku." – konkluduje RCB,

Artykuł RCB: „Atak się powiódł” pochodzi z serwisu CRN.

]]>
https://crn.sarota.dev/aktualnosci/atak-sie-powiodl/feed/ 0