{"id":284505,"date":"2017-07-07T15:30:34","date_gmt":"2017-07-07T13:30:34","guid":{"rendered":"http:\/\/legiobiznes.pl\/I\/?p=284505"},"modified":"2025-12-19T12:39:11","modified_gmt":"2025-12-19T10:39:11","slug":"przeglad-cyber-security-ataki-na-polska-bankowosc-notpetya-pue-zus-listy-o-stanie-kont-pracownicy-cia-hakerami-nie-loguj-sie-do-mbanku-przez-google","status":"publish","type":"post","link":"https:\/\/legiobiznes.pl\/I\/przeglad-cyber-security-ataki-na-polska-bankowosc-notpetya-pue-zus-listy-o-stanie-kont-pracownicy-cia-hakerami-nie-loguj-sie-do-mbanku-przez-google\/","title":{"rendered":"Przegl\u0105d Cyber Security: ataki na polsk\u0105 bankowo\u015b\u0107, NotPetya, PUE ZUS listy o stanie kont, pracownicy CIA hakerami, nie loguj si\u0119 do mBanku przez Google"},"content":{"rendered":"

Trzy przyk\u0142ady prawdziwych atak\u00f3w na polsk\u0105 bankowo\u015b\u0107 elektroniczn\u0105 oczami ofiary<\/strong><\/h2>\n

Nie ma tygodnia, by\u015bmy nie natkn\u0119li si\u0119 na atak na polskich klient\u00f3w bankowo\u015bci elektronicznej. Niestety wi\u0119kszo\u015b\u0107 z nich jest s\u0142abo przez ofiary udokumentowana. Na szcz\u0119\u015bcie troch\u0119 zrzut\u00f3w ekranu uda\u0142o si\u0119 nam z r\u00f3\u017cnych \u017ar\u00f3de\u0142 uzbiera\u0107.<\/strong><\/span><\/h3>\n

Atak\u00f3w na pieni\u0105dze Polak\u00f3w i polskich firm nie brakuje, a ma\u0142o kt\u00f3ry bank chce pokazywa\u0107, \u017ce jego klienci tak\u017ce mog\u0105 zosta\u0107 ofiarami. Z tego powodu w internecie trudno trafi\u0107 na zrzuty ekranu pokazuj\u0105ce faktyczny przebieg ataku oczami ofiary. Poni\u017cej znajdziecie kilka przyk\u0142ad\u00f3w zebranych nas w ostatnich dniach z r\u00f3\u017cnych \u017ar\u00f3de\u0142 \u2013 mo\u017cecie \u015bmia\u0142o wykorzysta\u0107 w edukacji pracownik\u00f3w w swoich firmach.<\/p>\n

Atak przez internetow\u0105 reklam\u0119<\/strong><\/h3>\n

W ostatnich dniach mia\u0142 miejsce sprytny atak na klient\u00f3w mBanku. Je\u015bli szukali w Google panelu logowania do swojego banku (zamiast wpisa\u0107 adres mbank.pl do paska przegl\u0105darki), to mogli trafi\u0107 na tak\u0105 oto reklam\u0119:<\/p>\n

\"\"<\/a><\/p>\n

Jak mo\u017cecie zauwa\u017cy\u0107, adres do kt\u00f3rego prowadzi reklama nie nale\u017cy do mBanku. Co si\u0119 stanie, je\u015bli na niego klikniecie? Zobaczycie taki oto ekran:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Czytaj wi\u0119cej na:<\/strong>\u00a0https:\/\/zaufanatrzeciastrona.pl<\/a><\/p>\n

Ofiary ataku NotPetya by\u0142y zainfekowane od co najmniej kwietnia\u2026<\/strong><\/h2>\n

Od ataku fa\u0142szywym jak ju\u017c wiemy (albo bardzo nieudanym) ransomwarem Petya min\u0105\u0142 tydzie\u0144. Na przestrzeni ostatnich dni pojawi\u0142y si\u0119 nowe, ciekawe informacje. Wszystkie z nich regularnie zbieramy i publikujemy w formie aktualizacji pod naszym\u00a0mega-artyku\u0142em dotycz\u0105cym Petya\/NotPetya<\/a>. Poniewa\u017c jednak\u00a0Aktualizacja #8 tego artyku\u0142u<\/a>\u00a0wnosi du\u017co nowego do ca\u0142ej sprawy, postanowili\u015bmy dodatkowo opublikowa\u0107 j\u0105 jako osobny post. Oto on.<\/strong><\/span><\/h3>\n

Grupa NotPetya kontrolowa\u0142a ukrai\u0144skie firmy-ofiary od co najmniej kwietnia<\/h3>\n

Opublikowany wczoraj\u00a0raport firmy ESET\u00a0ujawnia dowody na to, \u017ce mechanizm aktualizacji, a nawet ca\u0142y serwer firmy M.E.Doc produkuj\u0105cej oprogramowanie do rozlicze\u0144 podatkowych wykorzystywanych w Ukrainie, od kt\u00f3rego zacz\u0105\u0142 si\u0119\u00a0atak, znajdowa\u0142 si\u0119\u00a0ju\u017c od kwietnia 2017 pod kontrol\u0105 atakuj\u0105cych stoj\u0105cych za atakiem NotPetya.<\/strong>. ESET nazywa t\u0119 grup\u0119\u00a0TeleBots<\/em>.<\/p>\n

Co wi\u0119cej, 1 czerwca operator serwerowni, w kt\u00f3rej hostowane s\u0105 serwery M.E.Doc, czyli firma WNet I.S.P. zosta\u0142a\u00a0oskar\u017cona o przekierowanie ruchu na infrastruktur\u0119 kontrolowan\u0105 przez rosyjskie s\u0142u\u017cby specjalne<\/a>. Nie wiadomo jednak, czy ten incydent mia\u0142 zwi\u0105zek z atakiem NotPetya \u2014 wszak s\u0105 dowody na to, \u017ce serwery firmy M.E.Doc by\u0142y przej\u0119te du\u017co wcze\u015bniej.<\/p>\n

Kod \u017ar\u00f3d\u0142owy firmy M.E.Doc zosta\u0142 wykradziony<\/strong><\/h3>\n

Analiza backdoora znajduj\u0105cego si\u0119 w pliku\u00a0ZvitPublishedObjects.dll<\/span>, kt\u00f3ry by\u0142 elementem z\u0142o\u015bliwych aktualizacji oprogramowanie M.E.Doc, ka\u017ce przypuszcza\u0107, \u017ce atakuj\u0105cy mieli dost\u0119p do pe\u0142nego kodu \u017ar\u00f3d\u0142owego oprogramowania M.E.Doc. Plik biblioteki zawiera bowiem, poza z\u0142o\u015bliwymi elementami, du\u017co prawdziwego kodu oprogramowania M.E.Doc. Jak pisz\u0105 badacze ESET-a…<\/p>\n

Czytaj wi\u0119cej na:<\/strong>\u00a0https:\/\/niebezpiecznik.pl<\/a><\/p>\n

Tw\u00f3rcy NotPetya chc\u0105 100 bitcoin\u00f3w za umo\u017cliwienie odszyfrowania plik\u00f3w<\/strong><\/h2>\n

Historia NotPetya nie przestaje si\u0119 rozwija\u0107. W nocy kto\u015b przela\u0142 \u015brodki z konta na kt\u00f3re wp\u0142ywa\u0142 okup za odszyfrowanie plik\u00f3w na 3 inne rachunki oraz opublikowa\u0142 wiadomo\u015b\u0107 z now\u0105 informacj\u0105 dla ofiar ataku.<\/strong><\/span><\/h3>\n

Trzeba przyzna\u0107, \u017ce afera NotPetya robi si\u0119 z dnia na dzie\u0144 coraz ciekawsza i rozwija si\u0119 zgodnie z rekomendacj\u0105 przypisywan\u0105 Hitchcockowi: \u201eFilm powinien zaczyna\u0107 si\u0119 od trz\u0119sienia ziemi, potem za\u015b napi\u0119cie ma nieprzerwanie rosn\u0105\u0107\u201d. Kilka godzin temu zebrane przez przest\u0119pc\u00f3w bitcoiny ruszy\u0142y w drog\u0119 a w sieci pojawi\u0142 si\u0119 pierwszy komunikat od autor\u00f3w ataku.<\/p>\n

Bitcoiny i transfery<\/strong><\/h3>\n

Na adres\u00a01Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX<\/a>, na kt\u00f3ry mo\u017cna by\u0142o wp\u0142aca\u0107 okup za odzyskanie plik\u00f3w wp\u0142yn\u0119\u0142o ok. 4BTC. Wczoraj w nocy z adresu wykonano trzy transakcje. Najpierw dwa przelewy po ok. 0,01 BTC a nast\u0119pnie reszta kwoty pow\u0119drowa\u0142a na inny rachunek. Pierwsze przelewy trafi\u0142y na konta serwis\u00f3w\u00a0Pastebin oraz DeepPaste \u2013 kto\u015b kupi\u0142 za nie us\u0142ug\u0119 umo\u017cliwiaj\u0105c\u0105 umieszczanie w sieci informacji. Pozosta\u0142o zatem czeka\u0107 na publikacj\u0119 \u2013 i po kilkudziesi\u0119ciu minutach pojawi\u0142 si\u0119 pierwszy link…<\/p>\n

Czytaj wi\u0119cej na:\u00a0<\/strong>https:\/\/zaufanatrzeciastrona.pl<\/a><\/p>\n

Komputery ofiar NotPetya mog\u0142y by\u0107 zainfekowane co najmniej od kwietnia<\/strong><\/h2>\n

Dzi\u0119ki prowadzonym analizom ataku NotPetya na jaw wychodzi coraz wi\u0119cej ciekawych informacji. Najnowsze doniesienia wskazuj\u0105, \u017ce zaatakowane firmy mog\u0142y by\u0107 zainfekowane przez przest\u0119pc\u00f3w ju\u017c w kwietniu tego roku.<\/strong><\/span><\/h3>\n

Ju\u017c\u00a0pierwszego dnia ataku wysz\u0142o na jaw<\/a>, \u017ce ukrai\u0144skie firmy, kt\u00f3rych komputery pad\u0142y ofiar\u0105 NotPetya, zainfekowane zosta\u0142y poprzez z\u0142o\u015bliw\u0105 aktualizacj\u0119 oprogramowania MEDoc, s\u0142u\u017c\u0105cego do prowadzenia ewidencji finansowej i rozliczania podatk\u00f3w. Cho\u0107 producent oprogramowania u\u017cywanego przez 400 000 klient\u00f3w\u00a0odrzuca zarzuty<\/a>\u00a0o nie\u015bwiadomy udzia\u0142 w ataku, to\u00a0najnowsze badania firmy ESET\u00a0wskazuj\u0105 \u017ce aktualizacje MEDoc by\u0142y zainfekowane ju\u017c od kwietnia a serwer aktualizacji programu by\u0142 jednocze\u015bnie serwerem C&C\u2026<\/p>\n

Totalna katastrofa<\/strong><\/h3>\n

W obliczu zarzut\u00f3w wobec producenta MEDoc badacze przyjrzeli si\u0119 wcze\u015bniejszym aktualizacjom tej aplikacji. ESET przeanalizowa\u0142 wszystkie pliki serwowane w roku 2017 i odkry\u0142, \u017ce przynajmniej trzy z dystrybuowanych aktualizacji posiada\u0142y dodatkowy, sprytnie ukryty kod, dzia\u0142aj\u0105cy jako specjalnie w tym celu skonstruowana tylna furtka. Chodzi o wersje:<\/p>\n