Złośliwe oprogramowanie infekowało ukraińskie komputery od dwóch lat. To może być test przed czymś większym – przestrzegają eksperci.
Długotrwały atak hakerski został wykryty przypadkiem przez firmę PaloAlto Networks, która natknęła się na dostępny w sieci wabik – dokument ukraińskiego ministerstwa obrony narodowej, który po ściągnięciu infekował komputer. – Oprogramowanie było napisane inteligentnie i profesjonalnie, widać w nim rękę fachowca – mówi Dariusz Łydziński z firmy 4ITSECURITY. Wirus umożliwia osobie trzeciej modyfikowanie plików, usuwanie ich, tworzenie nowych, zmianę nazw już istniejących, włączenie nasłuchu audio, robienie screenów czy wysyłanie plików.
Robert Michalski z firmy Symantec mówi, że system dystrybucji tego malware’u, czyli złośliwego oprogramowania, jest bardzo prosty, co stoi w sprzeczności z jego zaawansowaną budową. Był rozsyłany jako plik w formacie .exe, który zwykle jest blokowany w dobrze zabezpieczonych organizacjach. – Ten atak jest bardzo dziwny. To może być test przed czymś większym, ale z drugiej strony ciężko mi sobie wyobrazić, żeby ktoś testował złośliwe oprogramowanie tak długo. Być może jednym z celów jest test odporności infrastruktury bezpieczeństwa na dość prosty sposób ataku – mówi.
Ekspert zauważa, że oprogramowanie zostało tak napisane, by uruchamiać się na systemach operujących w językach ukraińskim i rosyjskim, jednak w wyniku błędu może także infekować komputery w innych językach, również polskim. Zainfekowany dokument mógł rozprzestrzeniać się przez portale społecznościowe, ale także drogą e-mailową. Nie udało się jednoznacznie ustalić, czy dokument ukraińskiego MON-u był jedynym nośnikiem wirusa.
Zapytaliśmy PaloAlto Networks, dlaczego badało sprawę. „Wiele analiz przydaje się analitykom w innych firmach i instytucjach, a także stanowi świetne promowanie produktów, które w dużej mierze automatycznie wykrywają i korelują zdarzenia z dziedziny cyberbezpieczeństwa” – odpowiedziała firma. Ukraiński resort obrony nie odpowiedział na nasze pytania.
Ostatnio Ukraina stała się celem licznych ataków, to zaś rodzi zagrożenie dla Polski ze względu na system powiązań informatycznych choćby pomiędzy polskimi zleceniodawcami i ukraińskimi wykonawcami czy tamtejszymi filiami naszych przedsiębiorstw. – Jestem w stanie przypomnieć sobie kilka sytuacji, które uderzyły w naszych przedsiębiorców. Z oczywistych powodów nie będę podawać nazw firm, jednak pamiętam przykład przedsiębiorstwa, które stało kilka tygodni ze względu na zainfekowanie się wirusem, który przybył z ukraińskiej filii – mówi Dariusz Łydziński.
W czerwcu tego roku, za pośrednictwem naszego wschodniego sąsiada, wirus Petya przeniknął do systemów w 65 krajach. Atak umożliwił program używany na Ukrainie do rozliczeń podatkowych – M.E.Doc. Podmieniona aktualizacja zainfekowała komputery, na których oprogramowanie było zainstalowane i wirus rozprzestrzeniał się dalej. Taką wersję wydarzeń potwierdzają Microsoft, Cisco, Symantec i ukraińskie władze. Na Ukrainie padły banki, narodowi dostawcy energii czy operatorzy telekomunikacyjni. Za granicą dostały m.in. systemy komputerowe firm Maersk, FedEx czy TNT Express.
Eksperci uważają jednak, że w przypadku Petyi uderzenie w zachodnie korporacje nie było intencją atakującego.
Rosnącą popularnością cieszy się hakowanie na trzeciego. Mniejsze przedsiębiorstwa zazwyczaj są o wiele słabiej chronione niż te większe, dlatego łatwiej zainfekować system dużego podmiotu, wchodząc do niego przez podwykonawcę. – Atakujący coraz bardziej liczą koszty. Szukają najsłabszych ogniw, by zaoszczędzić czas i pieniądze – mówi Sebastian Małycha, prezes Mediarecovery, firmy specjalizującej się w informatyce śledczej i bezpieczeństwie IT. Przywołuje przykład zeszłorocznego ataku na polskie banki przez stronę Komisji Nadzoru Finansowego, która była słabiej zabezpieczona niż ostateczny cel. – Są też regiony świata, które są słabiej przygotowane na ataki i hakerzy chętnie to wykorzystują – dodaje ekspert.
