Poważny atak na polskie banki mniej tajemniczy

Na początku lutego dowiedzieliśmy się o cyberataku na polskie banki i Komisję Nadzoru Finansowego, który został nazwany przez ekspertów najpoważniejszym naruszeniem infrastruktury sektora bankowego w naszym kraju. Wiemy już, że nasze pieniądze są bezpieczne, ale dotąd nie wiedzieliśmy jak przeprowadzono sam atak. Zbadali to eksperci z firmy ESET.

„Watering hole attack” – tak określany jest typ ataków, jaki najprawdopodobniej wykorzystali cyberprzestępcy w tym przypadku. Polega on na przejęciu kontroli nad stronami internetowymi popularnymi w danym kręgu osób oraz wprowadzeniu niewidocznych dla użytkowników zmian w tych stronach, które jednak umożliwiają przeprowadzenie infekcji ich komputerów.

Komputer użytkownika, który uległ takiej infekcji, był następnie przeszukiwany za pomocą kodu mającego na celu odnalezienie luk w oprogramowaniu. Jeśli ta „misja” się powiodła, na komputerze instalowane było złośliwe oprogramowanie, na które składały się trzy komponenty: dropper, loader i moduł.

Dropper służy do uruchomiania kolejnych komponentów w komputerze ofiary. Jeden z nich modyfikuje konfigurację systemu sprawiając, że złośliwy program uruchamia się podczas startu. Loader odszyfrowany przez droppera odpowiada zaś za załadowanie modułu. To właśnie w tym ostatnim znajdują się kluczowe elementy, w tym usługa komunikacji ze zdalnym serwerem, a więc możliwość wydawania poleceń przez cyberprzestępcę.

Eksperci ESET natknęli się na kilka próbek, wchodzących w skład tej samej rodziny złośliwego oprogramowania. Odkryli, że reaguje ono na polecenia, które były wydawane po rosyjsku. Czy to musi oznaczać, że cyberprzestępcy byli Rosjanami? Nie, mogli na przykład chcieć tylko, byśmy tak myśleli.

Pełna analiza (w j. angielskim) dostępna jest na stronie laboratorium ESET.

Źródło: ESET