2016-04-26

[aktualizacja] GozNym: komentarz

[aktualizacja: 2016.04.28]

Media różnego typu (m.in. z3s, niebezpiecznik) rozpisują się o GozNym, KNF kręci głową, a ZBP rozpacza nad przekazem firmy IBM (techniczny opis tutaj).

Zamiast komentować wiele razy to samo, poniżej kluczowe wg. White Cat Security obserwacje:
  • atak wycelowany w banki spółdzielcze i w takiej ilości to coś nowego w Polsce
  • wcześniej miały miejsce ataki, które również mogły dotykać klientów banków spółdzielczych w podobnej ilości, natomiast nie były to ataki celowane w nich bezpośrednio co wynikały ze specyfiki/ogólności/charakteru działania takich rodzin złośliwego oprogramowania jak Banapter czy Banatrix 
  • atak wycelowany w 17 15 banków komercyjnych w tej samej kampanii był już widziany (źródło: CERT.PL) kilka lat temu, jest to powrót do tego co można było zaobserwować

W mediach można zauważyć niedosyt związany z brakiem liczb odnośnie strat, ilości zarażonych urządzeń klientów banków. Otóż liczby te mogły nie zostać podane z wielu przyczyn:
  • Braku wiedzy o nich w IBM
  • Braku praktyki przekazywania takich informacji (liczb) nie tylko w IBM, CERT.PL, a także inne zespoły tego typu (CERT w Orange Polska czy CERT.GOV.PL), również nie podają takich informacji opisując "nową" kampanię/rodzinę lub potomka złośliwego oprogramowania. Takie informacje w ujęciu statystycznym możemy zauważyć w raportach rocznych lub okresowych. Działania CERT Orange Polska mogą tu być wyróżnikiem na tle innych, gdyż z przybliżeniem do nazwy botnetu publikują statystyki niemal w trybie online - link do statystyk. Natomiast nie można tego powiązać z konkretnymi kampaniami czy celami ataku.
  • Trudność w policzeniu "wielkości" zagrożenia polega na na problemie uchwycenia tego co istotne. O tym jak można próbować policzyć potencjalne straty w najgorszych scenariuszach już pisałem. Uzupełniając wpis sprzed roku, warto zwrócić uwagę co może się przydać by policzyć rozmiar botnetu. Będą to np.: dane z panelów/baz przestępców, z których zarządzają przejętymi urządzeniami, dane u operatorów telekomunikacyjnych, świadczących usługę dostępu do Internetu zarażonym urządzeniom czy dane pochodzące z sinkhole. Wyzwanie z jakim trzeba się zmierzyć to połączenie informacji o tym, że dane urządzenie jest zainfekowane z aktualną, choć zmieniająca się w czasie, konfiguracją złośliwego oprogramowania. Konia z rzędem temu, który jest w stanie oceniać, który botnet, o jakim rozmiarze i w jakim stopniu uzbroił w danej chwili swoje boty w konfigurację wycelowaną w daną platformę internetową - np. w bankowość elektroniczną. Teoretycznie jest to możliwe, w praktyce wymaga współpracy międzysektorowej, a wcześniej wewnątrz sektorowej. Namiastkę informacji o tym jak to może wyglądać są raporty z ćwiczeń Cyber EXE w sektorze finansowym, w roku 2015 i 2013. Ocenę efektywności współpracy pozostawiam czytającym.
  • Od kilku lat, różnymi kanałami, namawiałem CERT.PL by podając już statystyki w raportach, m.in. rocznych, dodawał informację o ograniczeniach/warunkach analizy, by czytający raport znał kontekst w jakim powstał - co jest moim zdaniem jako analityka, niezwykle istotne. W tym roku widzę, że raport zawiera akapit o nazwie "Ograniczenia" - co przy tej okazji warto wspomnieć. Życzę innym by zaczęli taki akapit dodawać w swoich raportach rocznych, okresowych, a do tego by liczby pojawiały się przy powiadomieniach o nowych kampaniach... szczerze, nie wiem czy kiedykolwiek dojdziemy - w informacji publicznie dostępnej. Dlaczego? Bo to również informacja zwrotna dla przestępców.
Wszystkie powyższe wnioski zostały oparte o dane publicznie dostępne lub są wynikiem ich analizy.

Kończąc, część ekspertów ma pretensje/uwagi do autorów treści, że piszą o atakach na klientów sektora finansowych jak o atakach na banki. Wynika to m.in. z tego, że tak się przyjęło. Można próbować to zmieniać - tu widzę rolę ZBP, KNF i samych banków. Z drugiej strony, za bezpieczeństwo środków finansowych klientów wg. mnie, odpowiadają 50/50, zarówno banki jak i sami klienci - bez zrzucania odpowiedzialności z jednej na drugą stronę. Błędy po jednej lub po obu stronach mogą skończyć się tak samo - kradzieżą środków finansowych.

Czy atak z użyciem GozNym można wykryć znanymi metodami walki z malware? - o tym mam nadzieję już wkrótce.

Brak komentarzy:

Publikowanie komentarza