- To co odróżnia ten atak od innych, o których zwykle słyszeliśmy w mediach, to kwestia celu – nie byli nim klienci banków, ale same banki – atakowano bezpośrednio infrastrukturę bankową. Do ataku wykorzystano wyrafinowane oprogramowanie złośliwe, które infekowało serwery i stacje robocze wewnątrz sieci bankowej. Cel infekcji nie jest jasny, możemy przypuszczać, że po włamaniu na stacje końcowe lub serwery można właściwie robić wszystko – wykradać informacje o klientach, transakcjach, atakować połączone fragmenty sieci bankowej (np. sieć sterowania bankomatami, itd.) – komentuje Marcin Ludwiszewski, dyrektor, lider obszaru cyberbezpieczeństwa w Deloitte. Wygląda na to, że celem nie były pieniądze klientów tylko informacje. Na razie nie informowano o przypadkach kradzieży środków.
O problemach banków donoszą portale branżowe m.in. ZaufanaTrzeciaStrona.pl i Cashless.pl. Nie działa również strona Komisji Nadzoru Finansoego. Biuro prasowe Związku Banków Polskich potwierdziło, że atak miał miejsce i że to banki zaalarmowały KNF o zdarzeniu. ZBP uspokaja, że klienci nie muszą bać się o swoje oszczędności. Systemy bankowe działają normalnie, pieniądze klientów są bezpieczne.
UKNF przyznaje, że zidentyfikowana została próba ingerencji z zewnątrz w system informatyczny obsługujący stronę internetową www.knf.gov.pl – podaje portal Cashless.pl. Urząd zapewnia, że wewnętrzne systemy raportowania przez podmioty nadzorowane funkcjonują niezależnie od systemu informatycznego obsługującego stronę internetową i pozostają bezpieczne, prace Urzędu przebiegają w sposób niezakłócony. W sprawie tej zostało złożone zawiadomienie do właściwych organów ścigania, z którymi Urząd ściśle współpracuje. Strona internetowa www.knf.gov.pl została wyłączona przez administratorów z UKNF w celu zabezpieczenia materiału dowodowego. Urząd pozostaje w bieżącym kontakcie z przedstawicielami nadzorowanych sektorów, w tym bankowego, których działalność nie jest w żadnym stopniu zagrożona.
Według Deloitte'a połączenie ataku na sektor bankowy (infrastruktura krytyczna), jak również stosowanie wyrafinowanego oprogramowania złośliwego, mają znamiona ataku APT (zwykle wykonywane przez motywowane politycznie lub biznesowo grupy hakerskie lub służby specjalne przy zastosowaniu zaawansowanych narzędzi, specjalistycznej wiedzy i z założeniem długotrwałego ukrycia w systemie ofiary). – Nie jest jasny do końca wektor ataku (sposób przekazania wirusa do sieci bankowej) – czy był to zwykły phishing na pracowników banku przekierowujący do strony ze złośliwym oprogramowaniem lub posiadający załącznik, czy wykorzystano podatności 0 day lub również charakterystyczny dla ataków APT tzw. watering hole (atak na organizację poprzez zaufaną witrynę lub serwer – do których wcześniej się włamano i zainstalowano złośliwe skrypty infekujące odwiedzających stronę). Warto więc zadać pytanie, czy do ataków na banki nie wykorzystano potencjalnie bezpiecznych stron lub serwerów innych organizacji. W tym kontekście zastanawiająca jest trwająca od dwóch dni konserwacja strony Urzędu Komisji Nadzoru Finansowego – zastanawia się Ludwiszewski.
Analizując tego typu ataki trzeba brać pod uwagę, że złośliwe oprogramowanie (mimo iż ukierunkowane na konkretne cele), może powodować straty również w innych firmach, które niejako dostaną rykoszetem i zostaną zainfekowane oprogramowaniem złośliwym przypadkowo. Skutkuje to ekspozycją firmy na zagrożenia kradzieży lub utraty danych, szantażu, a nawet potencjalnie kary regulacyjne (np. w kontekście nowych przepisów dotyczących danych osobowych wynikających z unijnej dyrektywy GDPR - nakładających wysokie kary za ich naruszenie). Mają to na uwadze warto zwracać uwagę nie tylko na prewencję, ale również zdolności wykrywania potencjalnych zagrożeń a także posiadać zdolności w zakresie reagowania na incydenty i regularnie testowanie organizację pod kątem ataków sieciowych socjotechnicznych i fizycznych.
