Atak na polskie banki poprzez malware na stronach KNF to tylko część większej kampanii…

16 lutego 2017, 09:34 | W biegu | komentarzy 12
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

O sprawie na pewno słyszeliście –  temat jako pierwsza opracowała zaufanatrzeciastrona.

Obecnie pojawiają się kolejne analizy (zawierające sporo technicznych smaczków) i pokazujące również powiązania z atakiem na polskie organizacje podobnych akcji: na regulatora finansowego w Meksyku i narodowy bank w Urugwaju:

The eye-watch[.]in domain appears to have been used in watering-hole attacks on other financial sector websites.

Potwierdzono też udział w operacji grupy Lazarus, znanej m.in. z ataków na banki na całym świecie, a wg niektórych powiązanej z … Koreą Północną:

Investigators in Poland have identified known Lazarus group implants on bank networks and associated this with the recent compromise of the Polish Financial Supervision Authority’s website.

Interesujące może być też zestawienie adresów IP, które są umieszczone na whiteliście, służącej do wybrania celu ataku:

whitelist

Na deser…strona KNF to chyba pierwsza odwiedzana przeze mnie w ostatnich kilku latach, która używa flasha, nie będącego reklamą…:

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Paweł

    nie zaufanatrzeciastrona tylko niebezpiecznik […]

    Odpowiedz
    • zaufana była pierwsza, i to z wyprzedzeniem o kilka dni, 3.02

      Odpowiedz
  2. Haha

    Niebezpiecznik o ataku przeczytał na zaufanatrzeciastrona.pl a potem kilka dni kopiował wpisy banków ze SWOZa :)

    Odpowiedz
    • alientm

      Ok niech kopiują, informacje dość istotna więc dobrze jak by dotarła do jak największej liczby zainteresowanych – a sam KNF ani nic nie napisał ani nic nie skopiował, jak by nigdy nic się nie stało

      Odpowiedz
      • Przemek

        To teraz zapoznaj się z definicją klasyfikacji informacji jako TLP:Amber i jeszcze raz zastanów się czy to dobrze, że „kopiują” i udostępniają w taki sposób – niebezpieczniki.

        Odpowiedz
        • no ale

          to dobrze, że jest embargo na info?

          Odpowiedz
          • Artur

            Możesz powiedzieć, po co Tobie informacja na temat tego ataku w trakcie najintensywniejszych prac związanych z jego badaniem?
            Amber oznacza dystrybucję do wszystkich „celów” i potencjalnie narażonych w ramach ustalonych procedur komunikacyjnych. Tak też były te informacje dystrybuowane w ramach międzynarodowego sektorowego systemu wymiany informacji o zagrożeniach FS-ISAC (zatem nie tylko SWOZ).
            W naszym kraju większość procedur wymiany danych o zagrożeniach nie istnieje lub właśnie powstaje, dlatego niektórzy uważali, że wyciek informacji jest „moralnie usprawiedliwiony”.
            Nie nie jest. Zastanów się na ile trudno było zidentyfikować wszystkie cele z opublikowanej listy?
            A tak z ciekawości, czy ta informacja skłoniła Ciebie do zmiany hasła w systemie bankowości elektronicznej? Przecież wyciekły informacje, bez określenia jakie, pieniądze nie zginęły (jeszcze) zatem co podpowiada zdrowy rozsądek? Jakie ważne informacje posiada Bank?
            Kto używał informacji udostępnionej przez niebezpiecznika? Zainteresowani tematem szczegóły znali z publikacji Z3S. Po co zatem publikacja na NBZP?

          • Przemek

            @no ale, to nie embargo. Chcesz by każdą Twoją informacją dzielono się w Internecie tak jak nbzp to zrobił pomimo TLP:Amber?

        • Sorry, ale do mnie te „kolorki” nie przemawiają. Wprowadzono je, aby pewne rzeczy móc legalnie zamieść pod dywan.

          Odpowiedz
          • Przemek

            @Monter, Wprowadzono je dla tych, którzy myślą odwrotnie niż Ty. Tobie się nie przydadzą.

          • Jako klient dowolnego banku (może np. PlusBanku ;-) ) wolałbyś brać z połykiem co chędoży bank w oficjalnym komunikacie pt. „nic się nie stało”, czy jednak znać prawdę i spierniczać póki czas? Podobnie z wszystkimi dużymi/strategicznymi wyciekami/włamami. Ja wolę wiedzieć i móc zareagować lub choć być przygotowanym np. na żniwo wycieku danych z miejsc, w jakich znajdują się też moje dane. Zamiatanie pod dywan przez banki i inne duże firmy mi osobiście nie pasuje, dlatego nie uważam tych „kolorów” za coś pozytywnego.

  3. jasc

    W PUE ZUS to samo – aby załatwić cokolwiek zdalnie, wypełniając interaktywny formularz – MUSISZ najpierw zainstalować sobie Flasha…

    Odpowiedz

Odpowiedz