Exatel wykrył największy atak na internet w Polsce
– Odkryliśmy jeden z największych ataków na Internet w Polsce. 1041 stron serwujących malware – mówił w trakcie drugiego dnia Exatel Security Day 2017 Jarosław Sporysz, Starszy Inżynier ds. Usług Bezpieczeństwa IT w Exatelu. Partnerem wydarzenia jest BiznesAlert.pl
– Jak często zastanawiamy się wchodząc na dowolną stronę internetową, którą często odwiedzamy uważając ją za bezpieczną czy pod jej powierzchnią nie kryje się coś złego np. treści, które nie są opublikowane przez autorów strony? Do nie dawna panowało powszechne przekonanie, że nie powinno się wchodzić na strony niezaufane. Niestety ten punkt widzenia się zmienia – stwierdził prelegent konferencji.
Hakerzy często korzystają z taktyki tzw. wodopoju, która polega na zaatakowaniu określonej organizacji bądź grupy. Wśród tego rodzaju incydentów ekspert wymienił m.in. ostatni atak na sieci komputerowe Komisji Nadzoru Finansowego i Urzędu Rejestracji Produktów Leczniczych.
– Stworzono na nich wspomniane wodopoje, czyli pozostawiając ich podstawową funkcjonalność, serwowanie treści na nich opublikowanych wraz z dodatkowym kodem, który w przypadku KNF miał na celu przeprowadzenie silnego ataku na sektor bankowy – powiedział Sporysz.
Podkreślił, że w przypadku odkrycia przez Exatela jednego z największych ataków na polski Internet wszystko zaczęło się od ,,alarmu, który przekazali drugiej linii SOC (ang. Security Operation System) pracownicy pierwszej linii. Ostatecznie trafił on do pracowników trzeciej linii gdzie został dokładanie przeanalizowany”.
– Okazało się, że komputer jednego z naszych klientów, na którym zainstalowana jest sonda Fidelisa. Zarejestrowała ona potencjalny incydent na stronie, która odwiedził klient. Fidelis poinformował, że najprawdopodobniej oprócz właściwej treści tej strony link do przekierowania pierwszej fazy ataku exploit-kit RIG (narzędzie do wykrywania i wykorzystywania luk w zabezpieczeniach sieciowych, a następnie pobierania i rozprzestrzeniania coraz to nowszych zagrożeń – przyp. red.) – powiedział przedstawiciel Exatel dodając, że zastanawiające jest, iż dotyczyło to strony dotyczącej historii Polski.
– Po przeanalizowaniu wszystkich incydentów tego typu, z wszystkich sond Fidelis od naszych klientów okazało się, że strony na których zarejestrowano exploit-kit RIG są stronami polskimi. W tym momencie postawiliśmy teorię czy jest jakaś możliwość, że w polskim internecie istnieje sieć wodopojów i jak jest duża – mówił Sporysz.
Po bardziej dokładnej analizie okazało się, że eksperci Exatela natrafili w polskim internecie na kolejne wodopoje. Okazało się, że 1041 polskich stron zostało w nich zamienione. Gość konferencji nie wymienił o konkretnie o które strony chodzi ale wskazał, że problem ten dotyczył m.in. jednej strona z domeną ,,gov.pl” , stron gmin i powiatów, domen i subdomen 7 uczelni wyższych, strony imprez sportowych, strony kancelarii prawnych, strona jednego parlamentarzysty, portalu dla osób poszukujących pracę czy też for społecznościowych np. użytkowników programu antywirusowego
– Udało się na bardzo szybko zidentyfikować ponad 1000 wodopojów istniejących w polskim internecie. Dzięki temu, że znaleźliśmy błąd po stronie atakującego wiemy, że hakerzy nie są nieomylni. Tak naprawdę Urząd Regulacji Produktów Leczniczych był tak naprawdę wierzchołkiem góry lodowej, który udało się w porę zidentyfikować. Z naszych informacji wynika, że operator wodopojów nadal nie wie o odnalezionym przez nas błędzie – powiedział przedstawiciel Extela.
Stwierdził, że problemem okazały się również CMS (ang. Content Management System), które nie były aktualizowane od wielu lat co również ułatwiło pracę hakerom.
Zdaniem eksperta skompromitowanych serwery należały do najsłabszych czyli do przedszkoli, szkół i liceów, w których brakuje kadr do wykrywania tego typu zagrożeń.
– W całej sekwencji incydentów nie chodziło o to, że właściciele systemów byli celem ataków jako takich. Nikt nie próbował wykraść tych danych, które znajdują się na serwerach. To nie było celem. Celem byliśmy my wszyscy. Te wszystkie strony , które zostały skompromitowane zostały zamienione w broń wymierzoną przeciwko nam – podsumował Sporysz dodając, że wodopoje w polskiej sieci mogą istnieć od 1,5 roku. To z kolei oznacza, że każdy z nas w tym czasie mógł przynajmniej raz taką stronę odwiedzić.
