“Red october” a sprawa polska.

Choć Polski nie ma na liście krajów, które ucierpiały w wyniku operacji Czerwony Październik, nie oznacza to, że atak nas ominął. Z dużą dozą prawdopodobieństwa można stwierdzić, że byliśmy przynajmniej jednym z celów.

W całej operacji jest wyraźny ślad związany z naszym krajem. Wśród plików, które były rozsyłane do potencjalnych ofiar, jeden nazwano

“Katyn_-_opinia_Rosjan.xls”

(wartość MD5: bd05475a538c996cd6cafe72f3a98fae).

Plik ten zawierał, podobnie jak inne wykorzystywane w operacji, złośliwy kod, który instalował na komputerze ofiary pełnego trojana. Dlatego z niemal całkowitą pewnością można stwierdzić, że polscy użytkownicy byli jednym z celów ataku. Język polski jest też na liście 17 języków, które były interesujące dla atakujących. Taka lista została zaszyta w kodzie atakującego złośliwego oprogramowania.
W Polsce też mogło dojść do infekcji

Fakt, że na mapie opublikowanej przez Kaspersky Lab obszar Polski został oznaczony jako “brak infekcji”, wcale nie znaczy, że tak rzeczywiście jest. Opublikowane wyniki zawierają tylko część danych, bo opierają się na dwóch źródłach. Pierwszym z nich jest oprogramowanie antywirusowe firmy Kaspersky, drugim zaś analiza ruchu połączeń przejętych przez serwery C&C (command and control) w Kaspersky Lab. Warto zastanowić się, jaką częścią ogółu informacji dysponował zatem Kaspersky.

Jeśli chodzi o pierwsze źródło, oprogramowanie antywirusowe, decydujący jest stopień jego rozpowszechnienia na rynku. Według raportu OPSWAT za grudzień 2012, programy Kaspersky Lab stanowią zaledwie 5,7% rynku antywirusów. Firma i tak nie ma pełnej wiedzy o skali infekcji w tej grupie, bo otrzymuje informacje tylko od tych użytkowników, którzy wyrazili na to zgodę. Można więc stwierdzić, że uzyskana tą metodą wiedza firmy Kaspersky dotyczy jedynie marginesu całego rynku i nie powala przesądzić o tym, czy w danym kraju doszło do infekcji czy nie.

Drugim źródłem danych o infekcjach jest analiza połączeń do serwerów kontrolujących przestępczą sieć. Tu sytuacja wygląda podobnie. W trakcie analizy wykryto 60 takich serwerów, ale jak stwierdził Costin Raiu z Kaspersky Lab, “może ich być o kilkadziesiąt więcej”. Tylko sześć z nich (shellupdate.com, msgenuine.net, microsoft-msdn.com, windowsonlineupdate.com, dll-host-update.com, windows-genuine.com) udało się przejąć. Dlatego podobnie jak w przypadku oprogramowania antywirusowego dane mogą obejmować co najwyżej kilka procent wszystkich przypadków.

Zagrożone ambasady

Warto również zwrócić uwagę na fakt, że polskie istotne zasoby sieciowe nie ograniczają się do komputerów i sieci usytuowanych wyłącznie w kraju. Pozostają jeszcze istotne komputery podłączone do sieci dostawców internetu poza granicami naszego kraju. Tak może być w przypadku polskich ambasad. A wśród 56 krajów zaatakowanych w operacji Czerwony Październik aż 51 stanowią te, gdzie ataki odnotowano właśnie w ambasadach państw trzecich. To dość symptomatyczne i warto z tego wyciągnąć z tego wnioski. Widać, że placówki dyplomatyczne, często oderwane od sieci informatycznej własnego państwa, narażone są na duże niebezpieczeństwo i stanowią słaby punkt w systemie ochrony.

Już 14 stycznia, kiedy pojawił się pierwszy raport na temat operacji Red October, infrastruktura wykorzystywana przez przestępców zaczęła być likwidowana. To nie pierwszy przypadek takiego postępowania atakujących i trochę szkoda, że Kaspersky Lab nie zdecydował się na bardziej skoordynowaną akcję prowadzącą do identyfikacji większej liczby ofiar przed ujawnieniem szczegółów operacji. Widocznie rywalizacja na wyjątkowo konkurencyjnym rynku programów antywirusowych wzięła górę i postawiono na promocję swoich kompetencji analitycznych, a te związane z reagowaniem na incydenty odsunięto na bok.

Share Button