Panda Security opublikowała raport trudniący o tym, jak scamerzy wyłudzali pieniądze od firm logistycznych odpowiedzialnych za morski transport ropy oraz innych olei napędowych z rejonu Morza Śródziemnego, zachodniej Afryki oraz z Azji do Europy.

Pierwszy incydent tej operacji o nazwie „Oil Tanker” zauważono w sierpniu 2013 roku. Tego miesiąca do jednej z brytyjskich firm transportowych spłynął drogą elektroniczną dokument PDF o wadze niespełna 4MB zawierający zapytanie ofertowe przetransportowania ropy naftowej z basenu Morza Śródziemnego do Europy. Sęk w tym, że aby wejść w posiadanie odpowiedniego tonażu oleju napędowego wymaga się od kupującego wpłaty zaliczki w wysokości od 50 do 100 tysięcy dolarów, a od sprzedającego przedstawienia stosownych dokumentów potwierdzających posiadanie surowca. Tak oto potrzebny dokument został „przygotowany” przez cyberprzestępców i wysłany do jednej z firm z siedzibą w północno-zachodniej Anglii zajmującej się transportem morskim.

Jak się później okazało podstawiony plik „PDF” nie był w czystej postaci złośliwym oprogramowaniem, ale samorozpakowującym się archiwum imitującym ikonę PDF. Archiwum zawierało różne narzędzia i opracowane skrypty do kradzieży informacji oraz przesyłania ich na zdefiniowany serwer FTP. Na uwagę zasługuje fakt, że plik został otworzony nie przez nowicjusza, który nie miał nic wspólnego z komputerami oraz pracą w firmie logistycznej, ale przez sekretarkę z 20-letnim stażem. Jak widać, 20 lat pracy niczego ją nie nauczyło, ale historia ta ma swoje szczęśliwe zakończenie – tej firmy nie oskubano.

Strażnikiem, który przed zainfekowaniem ochronił komputer sekretarki było oprogramowanie antywirusowe od hiszpańskiego dostawcy Panda Security. Po przesłaniu metadanych zagrożenia na serwer producenta udało się zlokalizować jego pliki binarne i przeanalizować szkodliwą działalność. Eksperci z Panda Security dotarli do serwera FTP, który posłużył scamerom za schowek kradzionych informacji. Zlokalizowano w sumie 80 tysięcy plików zawierających różne dane uwierzytelniające oraz 860 unikalnych plików ze skradzionymi poświadczeniami, z których 10 należało do firm z sektora morskiego transportu ropy i gazu.

Jak twierdzą badacze z Panda Security podobne kampanie były skrupulatnie przygotowywane i uderzały w konkretne firmy z różnych sektorów przemysłu. Najwięcej poszkodowanych firm znajduje się w Belgii, w Niemczech, we Włoszech, w Hiszpanii i w Wielkiej Brytanii, ale ucierpiał nawet firmy z Singapuru i Chin

Morał tej historii może być tylko jeden. Eksperci bezpieczeństwa oraz niezależni badacze od lat wskazują na różne ułomności programów antywirusowych (i mają rację), jednak jak się okazuje i to już nie po raz pierwszy – w niektórych przypadkach „prymitywny” antywirus może ochronić firmę przed utratą wizerunku, kolejnych kontraktów oraz samym złośliwym i ukierunkowanym oprogramowaniem. 

AUTOR:

Adrian Ścibor

Podziel się