Niezidentyfikowani na razie cyberprzestępcy włamali się na serwery ONZ-owskiej Grupy Banku Światowego (World Bank Group) - poinformowała amerykańska stacja telewizyjna Fox News. Zdaniem dziennikarzy, w ciągu minionego roku doszło do co najmniej 6 “znaczących” włamań - nie wiadomo, czy ich sprawcy są w jakiś sposób powiązani. Przedstawiciele banku na razie nie potwierdzają tych doniesień.
Według anonimowych informatorów, którzy skontaktowali się z dziennikarzami, do pierwszego poważnego naruszenia bezpieczeństwa informatycznego serwerów banku doszło we wrześniu 2007 r., kiedy to włamali się tam crakerzy z Chin. W ciągu kolejnych 12 miesięcy doszło do kolejnych 5 znaczących włamań oraz kilkunastu mniej poważnych. Co najmniej trzy z nich przeprowadzone zostały przez tych samych cyberprzestępców - prawdopodobnie Chińczyków (lub osoby przebywające na chińskim terytorium).
FBI wiedziało
O pierwszym włamaniu pracownicy mieli dowiedzieć się od agentów Federalnego Biura Śledczego (FBI), którzy wykryli atak przy okazji dochodzenia prowadzonego w innej sprawie. Biuro przeprowadziło własne analizy tego incydentu - wynika z nich, że włamywacze uzyskali pełny dostęp do serwera Banku Światowego w oddziale w Johannesburgu (RPA) i ukradli z niego ogromne ilości poufnych danych. Wiadomo, że po tym ataku przestępcy przez co najmniej kilka miesięcy mieli stały dostęp do systemu informatycznego banku.
Celem kolejnego ataku był oddział w Waszyngtonie - według informatorów Fox News, został on przeprowadzony przez pracownika jednego z kontrahentów banku, indyjskiej firmy Satyam Computer Services (lub osobę podszywającą się pod niego). Włamywacz zdołał zainfekować kilka komputerów wykorzystywanych przez pracowników banku końmi trojańskimi i w ten sposób zdobył hasła i loginy niezbędne do uzyskania dostępu do poufnych zasobów. Wszystkie skradzione później dane zostały wysłane na zdalny serwer - jego lokalizacji nie ustalono.
Hinduski łącznik
Opisany powyżej incydent został szybko wykryty przez pracowników World Bank Group - bank natychmiast zerwał łącze komunikacyjne z indyjską centralną Satyam Computer Services. Firma ta od 2003 r. realizowała część zadań działu IT w Banku Światowym (w ramach outsourcingu) - kolejna umowa w tej sprawie miała być podpisana w ubiegłym miesiącu, ale po włamaniu bank zrezygnował ze współpracy z Satyam.
Nasi koledzy z amerykańskiego magazynu Computerworld poprosili o komentarz w tej sprawie Jima Swordsa - amerykańskiego rzecznika Satyam Computer Services. Przedstawiciel indyjskiej firmy ograniczył się jednak do przedstawienia oficjalnego oświadczenia firmy. Stanowisko Satyam jest dość niejasne - firma nie potwierdza i nie zaprzecza doniesieniom Fox News. “Po zapoznaniu się z doniesieniami na temat włamań władze naszej firmy rozpoczęły wewnętrzne dochodzenie, które ma sprawdzić prawdziwość tych informacji (aczkolwiek wydają się one mało wiarygodne). Wyniki tego dochodzenia zostaną w stosownym czasie przedstawione wszystkim zainteresowanym” - czytamy w oświadczeniu.
Agencja pod ostrzałem
Z doniesień Fox News wynika, że do kolejnych dwóch włamań doszło w czerwcu i lipcu bieżącego roku - sprawcami w tych przypadkach byli najprawdopodobniej ci sami crakerzy, którzy odpowiedzialni są za pierwszy atak (z września 2007 r.). Tym razem celem włamywaczy była infrastruktura informatyczna Agencji Wielostronnych Gwarancji Inwestycji (Multilateral Investment Guarantee Agency - MIGA) - jednej z instytucji finansowych działających w ramach Grupy Banku Światowego. Informatorzy Fox News twierdzą, że podczas tego ataku przestępcy skupili się na uzyskaniu szczegółowych informacji o strukturze systemu informatycznego Banku (poznali liczbę serwerów, sposoby przechowywania danych, wykorzystywane typy plików itp.). Niewykluczone, że ten atak był tylko rekonesansem do kolejnego, poważniejszego włamania.
Wewnętrzne dochodzenie
Dziennikarze przedstawili również fragmenty wewnętrznej korespondencji pracowników Banku Światowego (z lipca bieżącego roku) - zawierały one m.in. wskazówki co do postępowania po włamaniach z czerwca i lipca. Z zawartych w nich informacji wynika, że przestępcy uzyskali dostęp do co najmniej 18 serwerów (w tym do kontrolera domeny) oraz do bazy danych działu personalnego, w której przechowywane były zeskanowane dokumenty poszczególnych pracowników. Wiadomo, że pięć z owych osiemnastu serwerów zawierało poufne dane. Dochodzenie przeprowadzone w tym okresie przez pracowników banku wykazało, że włamania dokonał ktoś posługujący się nielegalnie zdobytym loginem i hasłem jednego z menedżerów IT banku.
Z doniesień Fox News wynika też, że po włamaniach w Banku Światowym przeprowadzono zakrojone na ogromną skalę śledztwo, które miało wyjaśnić, jak doszło do ataków. W dochodzenie zaangażowani byli zarówno informatycy banku, jak i co najmniej dwie znane firmy zajmujące się bezpieczeństwem informatycznym.
Bank Światowy: jesteśmy atakowani, ale…
Przedstawiciele banku twierdzą, że doniesienia Fox News są “mylącę i zawierają wiele błędów” - ich zdaniem cytowani przez stację informatorzy są niewiarygodni, zaś wspomniane fragmenty e-maili - wyrwane z kontekstu. Amerykański Computerworld wysłał już do rzecznika Banku Światowego dwie prośby o komentarz w tej sprawie - na razie na żadną z nich nie odpowiedziano. Warto też wspomnieć, że w rozmowie z dziennikarzem Fox News rzecznik banku przyznał, że system informatyczny instytucji jest regularnie atakowany przez cyberprzestęców, jednak zastrzegł, że do tej pory nie udało im się zdobyć żadnych poufnych informacji.
Informacja powyższa została również zamieszczona w serwisie: securitystandard.pl
