nie daj się cyberzbójom! – zapisz się bezpłatne szkolenie o bezpieczeństwie dla wszystkich

Bułgarska poczta zaszyfrowana. Ośrodek główny i zapasowe. Trafionych blisko 7000 komputerów

10 maja 2022, 10:20 | W biegu | komentarzy 10

Od kilku tygodni Bułgarska poczta (Български пощи) usuwa skutki bardzo rozległego incydentu spowodowanego przez ransomware’a, który objął praktycznie całą infrastrukturę poczty, w tym ośrodki zapasowe. Do incydentu doszło w kluczowym dla Bułgarów momencie – przed prawosławnymi świętami Wielkanocnymi. Zagrożona była nie tylko obsługa świątecznych przesyłek pocztowych, ale przede wszystkim wypłata świadczeń emerytalnych. 

W ocenie wicepremier Bułgarii, Kaliny Konstantinowej, ofiarami ataku byliby przede wszystkim ludzie najbardziej potrzebujący, dla których świadczenia emerytalne oraz specjalne świadczenie wielkanocne stanowią istotny składnik budżetu domowego. Z tego powodu wysiłki podejmowane w trakcie obsługi incydentu skupiały się przede wszystkim na terminowej wypłacie świadczeń, którą bułgarscy pocztowcy we współpracy z administracją przeprowadzili “na papierze”. 

Podobne sytuacje w Polsce obserwowaliśmy m.in. w Gminie Kościerzyna przed Bożym Narodzeniem (2019) oraz w Gminie Aleksandrów przed Wielkanocą (2021). Tam również wysiłki skoncentrowano przede wszystkim na przywróceniu przed świętami  ciągłości systemów odpowiedzialnych za wypłatę świadczeń dla osób najbardziej potrzebujących.

W komunikacie wicepremier Bułgarii tak przedstawia przebieg wydarzeń:

  • 30 marca (środa): premier Bułgarii ogłosił wypłacenie świadczeń wielkanocnych;
  • 2 kwietnia (sobota): podjęta została uchwała, w której każdemu emerytowi w Bułgarii przyznano świadczenie w wysokości 70 bułgarskich lewów (równowartość ok. 170 złotych), co przy liczbie przeszło 2 mln emerytów daje świadczenia w łącznej wysokości prawie 143 milionów bułgarskich lewów (równowartość ponad 340 mln złotych), które miały być wypłacane przelewem na konto świadczeniobiorcy oraz za pośrednictwem Bułgarskiej poczty;
  • 4 kwietnia (poniedziałek): atakujący skompromitowali serwer Bułgarskiej poczty – zainstalowano narzędzia, które pozwoliły atakującym przeprowadzić dalszy atak,
  • 5 kwietnia (wtorek): atakujący skompromitowali pozostałą część infrastruktury Bułgarskiej poczty (data center oraz stacje robocze w urzędach pocztowych), omijając wdrożone przez Bułgarską pocztę zabezpieczenia; wicepremier wskazuje, że złośliwe oprogramowanie atakuje wszystkie kraje z wyjątkiem Rosji i krajów byłych republik radzieckich;
  • 15 kwietnia (piątek): rusza wypłata świadczeń wielkanocnych za pośrednictwem Bułgarskiej poczty;
  • 16 kwietnia (sobota): rusza szyfrowanie, w rezultacie czego następuje paraliż Bułgarskiej poczty, który dotyczy wypłaty świadczeń emerytalnych (w tym dodatkowego zasiłku) i innych przekazów pieniężnych, a także obsługi przesyłek;
  • 16 kwietnia (sobota): eksperci z zespołu wicepremier oraz zewnętrzni eksperci cyberbezpieczeństwa, przez całą dobę pracują nad analizą ataku, badają komponenty infrastruktury Bułgarskiej poczty objęte incydentem oraz równolegle odtwarzają środowisko w infrastrukturze Państwowej chmury (Държавен облак),
  • 16 i 17 kwietnia (sobota i niedziela): zorganizowano proces wypłaty świadczeń emerytalnych “na papierze”, 
  • 20 kwietnia (środa): przedłużono godziny pracy urzędów pocztowych w celu wypłaty świadczeń przed Wielkanocą.

Wicepremier Bułgarii obrazuje również skalę problemu:

  • incydentem zostało objętych ponad 6600 komputerów i 100 serwerów w 2500 urzędach pocztowych,
  • około 3000 komputerów miało ponad 15 lat, pozostałe (choć młodsze) miały przestarzałe oprogramowanie (od 6 do 15 lat),
  • inwestycje w bezpieczeństwo informacji i ochronę danych były przez wiele lat zaniedbywane z uwagi na stale pogarszającą się sytuację finansową Bułgarskiej poczty.

Doradca wicepremiera, Vasil Velichkov, dodaje, że za atakiem stoją rosyjskojęzyczni aktorzy i wnioskuje to m.in. na podstawie analizy kodu napisanego w Delphi, od lat używanego jedynie w Rosji (dosł. която от години се използва само в Русия).

Lokalne media wskazują również, że atak hakerski na Bułgarską pocztę jest skoordynowany z innymi działaniami o charakterze hybrydowym, w tym przede wszystkim atakami medialnymi na rząd Bułgariii. W ramach kampanii dezinformacyjnej atakujący fałszywie informują, że rząd Bułgarii i jego służby nie radzą sobie. Velichkov wyjaśnia, że to podręcznikowe działania, które polaryzują społeczeństwo, niszczą osiągnięcia demokracji oraz destabilizują i mają destrukcyjny wpływ na państwo i jego ustrój.

~anna@sekurak.pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. lol

    Co to oznacza „skompromitować serwer”?

    Odpowiedz
    • yfgy

      Sprawić, że mu nie zaufasz

      Odpowiedz
    • Pawel

      Bezsensowne tłumaczenie „compromise”. Tak samo rosyjskojęzyczni „aktorzy” !?!?! Po angielsku ma to jeszcze sens, bo „acting”oznacza działanie. Po polsku aktor ma jedno znaczenie, teatralny lub filmowy.

      Odpowiedz
      • yfgy

        Świat i technologia idą do przodu. Potrzebujemy nowych słów i nowych znaczeń żeby móc się w nich poruszać

        Odpowiedz
        • P4

          Nie, to nie prawda. Stare slowa i ich znaczenia w zupelnosci wystarcza do trafnego opisywania interesujacych nas spraw.

          Natomiast brak polskich znakow diakrytycznych w mojej odpowiedzi jest przykry ale niestety nieunikniony, nad czym ubolewam osobiscie.

          Odpowiedz
    • asdsad

      Np. ktoś go zobaczył jak sikając po pijaku pod płotem oblał spodnie. Kompromitacja na całego!

      Odpowiedz
  2. RaV

    Taki sensacyjny tytuł: „Bułgarska poczta zaszyfrowana” powinien pojawić się miesiąc temu. Zaraz po wydarzeniu. Teraz powinna być analiza powłamaniowa…

    Odpowiedz
  3. skirge

    czyli jeśli chcecie coś zgonić na Ruskich piszcie w Delphi

    Odpowiedz
  4. Art

    Skompromitowała to się osoba, która tłumaczy wyraz „compromise” jako „skompromitowany” ;D

    Odpowiedz

Odpowiedz na asdsad