Artur Maciąg, Ireneusz Tarnowski Polska Obywatelska Cyberobrona

 

W Urzędzie Komisji Nadzoru Finansowego zidentyfikowana została próba ingerencji z zewnątrz w system informatyczny obsługujący stronę internetową www.knf.gov.pl. Wewnętrzne systemy raportowania przez podmioty nadzorowane funkcjonują niezależnie od systemu informatycznego obsługującego stronę internetową i pozostają bezpieczne. Prace Urzędu przebiegają w sposób niezakłócony. W sprawie tej zostało złożone zawiadomienie do właściwych organów ścigania, z którymi Urząd ściśle współpracuje. Strona internetowa www.knf.gov.pl została wyłączona przez administratorów z UKNF w celu zabezpieczenia materiału dowodowego. Urząd pozostaje w bieżącym kontakcie z przedstawicielami nadzorowanych sektorów, w tym bankowego, których działalność nie jest w żadnym stopniu zagrożona.

Komentarz Komisji Nadzoru Finansowego dotyczący ataku teleinformatycznego

Warszawska prokuratura okręgowa prowadzi postępowanie sprawdzające w sprawie cyberataku na system informatyczny Komisji Nadzoru Finansowe. Sprawa jest badana w kierunku art. 267 Kodeksu karnego, zgodnie z którym, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

prokurator Magdalena Sowa

 

W ostatnim czasie znacząco wzrosła liczba zagrożeń, ataków oraz incydentów komputerowych. Niemal codziennie każda organizacja spotyka się z atakami komputerowymi. Wiele z nich nie jest świadomych tego, że są przedmiotem ataku, inne nie są przygotowane na atak podejmując działanie dopiero w sytuacji wystąpienia incydentu, natomiast organizacje o wysokim poziomie świadomości planują swoją reakcję na zagrożenie z wyprzedzeniem zachowując ciągłą gotowość do aktywnej obrony swoich zasobów i interesów ich klientów.

CO SIĘ STAŁO?

Polska cyberprzestrzeń nie stanowi „samotnej wyspy” na globalnym oceanie informacji. Kwestią czasu było, po głośnych atakach na międzynarodowe systemy finansowe, uderzenie skierowane w banki obecne na polskim rynku. Choć cele atakujących do dzisiaj nie są jawne, jednym z nich było przedostanie się do zaufanej sieci wewnętrznej systemów bankowych, przejęcie kontroli nad komputerami tam umieszczonymi i ustanowienie komunikacji pomiędzy systemami ofiary a infrastrukturą kontrolowaną przez przestępców. W niektórych przypadkach cel ten został osiągnięty przy wykorzystaniu kilku na pozór niezwiązanych ze sobą błędów, jakie popełniono. Aby cały atak się powiódł trzeba było pokonać kilka poziomów zabezpieczeń jakie są stosowane w bankowych systemach informatycznych. Wdrożone rozwiązania techniczne oraz organizacyjne (m.in. stosowanie norm oraz rekomendacji regulatorów krajowych oraz organizacji międzynarodowych) znacząco utrudniają uzyskanie informacji, a tym bardziej dostępu do wewnętrznego systemu banku. Skuteczni przestępcy od wieków wiedzą, że nie warto tracić czasu na „frontalny atak”, bo zazwyczaj istnieją mniej strzeżone drogi do wnętrza. Intruzi postanowili dotrzeć do chronionej warstwy infrastruktury poprzez stacje robocze pracowników, co jest ostatnio najskuteczniejszą metodą „przeskoczenia muru”. Kompromitacja stacji roboczych wymaga pokonania dwóch mechanizmów: czujności użytkownika i ochrony stacji końcowej. Pracownicy zatrudnieni w sektorze bankowym posiadają zazwyczaj wiedzę na temat bezpieczeństwa i potrafią rozpoznać proste ataki socjotechniczne jak np. phishing, dlatego użytkownika zaatakowano wykorzystując relację zaufania, jaka łączy bank z nadzorcą, którym jest Komisja Nadzoru Finansowego (dalej KNF). Serwis internetowy (informacyjny) KNF stał się narzędziem w rękach przestępców. Kimkolwiek był ten, kto uznał, że serwis informacyjny nie wymaga szczególnych mechanizmów ochrony, nie wymaga aktualizacji, czy nawet reakcji na zgłoszenia dotyczące nieprawidłowości, powinien był solidniej podejść do analizy ryzyka „łańcucha dostaw” w polskim systemie finansowym. Strona ta stanowi źródło informacji dla pracowników banków, skąd czerpią wiedzę nt. najnowszych komunikatów KNF. Atakujący szukał słabego miejsca w całym systemie w sposób zorganizowany i systemowy (po końcowej analizie incydentu okazało się, że ten sam scenariusz ataku został przeprowadzony w innych krajach, m.in. Urugwaju i Meksyku). Strona KNF została „zatruta”, to znaczy wykorzystując nieaktualizowaną aplikację strony umieszczono w niej dodatkowy kod, który był wykonywany na każdym komputerze odwiedzającym daną stronę, oprócz wyświetlenia jej standardowej zawartości. Tego typu dystrybucja malware nosi nazwę metody wodopoju (ang. watering hole). Polega na tym, że przestępca zamiast próbować bezpośrednio dotrzeć do ofiary, kompromituje miejsca, które ona zazwyczaj zna, przez co atakowany nie zachowuje typowej podejrzliwości i realizuje scenariusz zgodnie z oczekiwaniami agresora („każdy kto przyjdzie i skorzysta z zatrutego źródła zostanie zatruty”). Ta metoda infekcji wykorzystuje przeświadczenie użytkownika internetu o tym, że serwis, z którego korzysta jest bezpieczny. W tym konkretnym przypadku wykorzystano zaufanie użytkowników do regulatora rynku (jakim jest KNF). W ramach relacji zaufania założono bez weryfikacji, że skoro KNF opracowuje, egzekwuje oraz kontroluje standardy (w tym bezpieczeństwo) w podmiotach mu podległych, to on sam będzie bezpieczny i będzie spełniał wszystkie regulacje jakie wprowadza. W opisywanym przypadku nie musiało to być prawdą. Serwis informacyjny KNF był zainfekowany od 5 października 2016 roku do 2 lutego 2017 roku (kiedy to już incydent został ujawniony w mediach). W serwisie zmodyfikowano istniejący kod JavaScript, który nakłaniał każdy komputer gościa do pobrania i uruchomienia skryptu ze złośliwego serwera. Skrypt ten weryfikował czy ofiara stanowi cel jaki wyznaczył sobie atakujący, a dokładniej czy jego adres IP należy do grup adresowych, które były celem. Tutaj trzeba zauważyć, że atakujący wcześniej przeprowadził rekonesans i uzyskał informacje o swojej ofierze (instytucji finansowej, banku). Atak nie był przeprowadzany metodą na chybił trafił, tylko dokładnie zaplanowany. Co więcej, przeprowadzano również weryfikacje, czy aktualnie atakowana sieć nie znajduje się na liście zakazanych sieci, aby jak najdłużej uniknąć wykrycia ataku. Jeśli komputer ofiary pozytywnie przeszedł oba testy, otrzymywał ze złośliwego serwera stronę internetową z JavaScript, który badał przeglądarkę odwiedzającego pod kątem stosowania technologii podatnych na przygotowany przez agresora atak. W kolejnym kroku, jeżeli sieć ofiary należała do kręgu zainteresowań intruza, a środki techniczne zabezpieczeń stacji roboczej celu (jak i ochrona sieciowa) nie wykryły i zablokowały podejrzanej aktywności przeglądarki, następowało pobranie ze złośliwego serwera jednego z czterech exploitów, które wykorzystywały znane podatności we wtyczce Silverlight oraz wtyczce Flash w przeglądarce internetowej. Podatności, które zostały wykorzystane w ataku, ujawnione były już w 2015 oraz w kwietniu 2016 roku i znane były poprawki (aktualizacje oprogramowania), które eliminowały te podatności (poprawki były opublikowane 28 grudnia 2015, 5 kwietnia 2016 oraz 2 maja 2016). Poprawne wykonanie eksploita pozwalało atakującemu na uzyskanie dostępu do systemu komputera ofiary pobranie oraz uruchomienie narzędzi służących do zbierania informacji o kontrolowanym środowisku i przekazaniu ich na serwer przestępców. Opisane fazy ataku miały charakter automatów, nie wymagających interakcji atakującego. Nie były również możliwe do zaobserwowania ze strony użytkownika odwiedzającego „zatruty wodopój”. W kolejnej fazie ataku, intruz oznaczał komputery do infekcji docelowym złośliwym oprogramowaniem, które unikając wykrycia instalowane było w systemie użytkownika jako usługa. To oprogramowanie, choć korzystało z zestawu znanych złośliwych narzędzi było niewykrywane przez systemy antywirusowe i zostało przygotowane tak, aby utrudnić jego analizę przez systemy, czy analityków bezpieczeństwa. Na tym etapie ataku intruz praktycznie kontrolował zaatakowane środowisko, zabezpieczenia techniczne zostały przełamane lub ominięte. Zainstalowany złośliwy program sterowany był zdalnie przez przestępcę komendami, które między innymi pozwalały na przeglądanie zasobów komputera i sieci, komunikację z innymi zainfekowanymi komputerami, zaszyfrowanie kopii interesujących plików, po czym wysłanie ich na zdalny serwer. Wiadomo, że przestępcy używali pierwotnie zainfekowanego komputera do ataku na inne obecne w sieci, tworzyli sieć zainfekowanych komputerów i wybierali wśród nich takie, które nie wzbudzając podejrzeń mogły być używane do komunikacji z internetem – w celu sterowania taką przejętą siecią komputerów – botnetem jak i kradzieży danych. W tej chwili trudno ocenić czy była to końcowa faza ataku, czy agresor dotarł do celu i pobrał interesujące go dokumenty. Nie można wykluczyć, że był to kolejny etap, przygotowanie do innego ataku, np. takiego, którego skutkiem mogło być wytransferowanie znacznych wartości pieniężnych.

1

Obecny stan wiedzy nie pozwala jednoznacznie stwierdzić jakie były motywacje, co było celem atakujących, jakie dane zostały pobrane i ile tych danych było.

Jak powyżej widać, atak był dobrze zaplanowany, skoordynowany i wieloetapowy, a intruz po wniknięciu do systemu pozostawał w nim nie wykryty.

Atak się powiódł, gdyż popełniono wiele błędów:

  • utrzymywano serwis informacyjny w środowisku aplikacyjnym, które było podatne na ataki,
  • zignorowano ostrzeżenia, iż strona KNF zawiera zatruty kod źródłowy,
  • utrzymano komputery z nieaktualnym i podatnym oprogramowaniem,
  • nie monitorowano ruchu sieciowego z infrastruktury zawierającej chronione informacje.

Po tak spektakularnej akcji (w Polsce celowano w kilkanaście banków), specjaliści bezpieczeństwa zastanawiają się kto jest inicjatorem tego ataku. Jednoznaczna atrybucja nie jest możliwa do ustalenia (przynajmniej na podstawie informacji wynikających z analizy incydentu, narzędzi i taktyk). Jednak w analizie przypadku zauważono znaczne podobieństwa do ataku grupy Lazarus (analitycy z Symantec mają pewność). Grupa ta łączona jest z atakami na Sony Pictures (rok 2014) oraz na system transferowy centralnego banku Bangladeszu (rok 2016, skradziono 81 mln $). To właśnie tej grupie przypisuje się autorstwo narzędzi ataku, natomiast nie jest jednoznaczna afiliacja atakującego i dokładny cel. Pewne ślady wskazują na rosyjskojęzycznych hackerów, jednak ten trop traktuje się jako próbę wprowadzenia w błąd analityków – tzw. false flag, znane z innych cyberataków. Stopień zaawansowania oraz techniki operacyjne nie są typowe dla cyberprzestępców, którzy kierują się kryterium finansowym w swoich atakach. Technika, taktyka oraz rozmach (poza Polską było to kilkadziesiąt innych celów w kilkunastu krajach) stanowią obecnie najgroźniejszą kategorię ataków – są to ataki związane z cyberszpiegostwem, gdzie atrybucja wskazuje na kraj o znacznym potencjale w dziedzinie cyberataków.

KONSEKWENCJE

Informacje o tym, iż występuje poważny incydent w (wielu) systemach bankowych została udostępniona przez jeden z banków w postaci IoC (ang. Indicator of Compromise, zbiór technicznych informacji o ataku) w Systemie Wymiany Ostrzeżeń o Zagrożeniach (SWOZ). Informacja uzyskała status ochrony TLP: Amber co oznacza, iż odbiorcy mogą dzielić się informacjami jedynie w obrębie swojej organizacji z osobami, które muszą poznać wiadomości oraz jedynie w zakresie niezbędnym do podjęcia stosownych działań. Narzucenie takiego statusu w znaczący sposób chroni informację, jednak w tym przypadku istotnie utrudniło wymianę informacji między zainteresowanymi instytucjami. Analitycy z zespołów reagowania na incydenty komputerowe (bankowych, rządowych, operatorskich) wymieniali się strzępkami informacji o tym co się dzieje, starając się poznać mechanizmy działania intruza, ocenić skalę włamania oraz oszacować szkody (np. określić jakie systemy padły ofiarą, jakie informacje zostały wytransferowane). 3 lutego pojawiła się pierwsza publikacja prasowa a później kolejne. Zakres niektórych publikacji wprost ujawniał dane z systemu SWOZ, które objęte były klauzulą ochronną. Zdarzenie odbiło się szerokim echem wśród specjalistów ds. bezpieczeństwa. Poza mediami branżowymi pojawiły się informacje w mediach ogólnopolskich, jak również zagranicznych. Wszyscy zaangażowani w obsługę tego incydentu dosyć zdawkowo dzielili się informacjami. Natomiast osoby postronne mogły zauważyć, iż w polskim środowisku nastąpiła blokada informacji.

Przypadek ten pokazuje kilka ważnych aspektów:

  • Wykorzystano zaufanie do organu rządowego, aby zaatakować wybrany cel. Zauważono, że systemy ochrony w sektorze rządowym nie są adekwatne do zagrożeń. Wykorzystano niewłaściwą klasyfikację systemów informatycznych i niewłaściwą ich ochronę. Tym samym znacząco zmniejszyło się zaufanie w internecie (zwłaszcza do dostarczycieli treści).
  • System Wymiany Ostrzeżeń o Zagrożeniach, który z niemałym wysiłkiem był budowany i w ostatnim czasie był dobrze wykorzystywany – w tym przypadku zawiódł. Informacja z systemu nie trafiła do właściwych osób, nie podjęto w porę działań ograniczających incydent. A w momencie, gdy w systemie znalazły się wartościowe informacje, to nastąpił wyciek informacji do mediów. Wyciek ten sprawił, że obecnie wszyscy użytkownicy systemu jeszcze bardziej będą ograniczać dzielenie się informacjami bojąc się kolejnych wycieków.
  • Wyciek danych (w znaczeniu upublicznienia wszystkich adresów IP uczestniczących w incydencie) na początkowym etapie analizy znacząco utrudnił pracę badaczy. Na tym etapie wiedzę powinni posiadać wszyscy zajmujący się badaniem przypadku oraz zespoły bezpieczeństwa w organizacjach (aby móc szukać obecności intruza u siebie lub skutecznie się bronić). Intruz już miał pewność, że został zauważony, posiadł wiedzę, gdzie i w jakim zakresie poznano jego działalność. To mogło mu pozwolić na przekonfigurowanie scenariusza ataku i lepsze ukrycie się lub konsekwentne zacieranie śladów i tworzenie mylnych tropów.
  • Po analizie zdarzenia nie można ustalić motywów i pełnych narzędzi atakujących. A brak tych informacji nie pozwala określić zagrożenia i konsekwencji. Jednocześnie są duże trudności w ustaleniu czy zagrożenie zostało opanowane.
  • Poza informacjami, których źródłem były wycieki do mediów z banków oraz SWOZ, nie było żadnych oficjalnych komunikatów (zarówno w sektorze, branży jak i do obywateli jako ogółu). Oficjalnie nikt się nie przyznał do zdarzenia, do jego skali i konsekwencji. Nawet KNF nie przyznał się do tak poważnych uchybień, a jedynie wydał oświadczenie informacyjne, iż nastąpiła „próba ingerencji”.
  • Ze względu na problem z wymianą informacji (nawet na poziomie technicznym) analitycy mieli ograniczone możliwości pełnego badania przypadku. Okazało się, że znacznie więcej informacji można uzyskać od zewnętrznych podmiotów, najczęściej zagranicznych. Kilka firm specjalizujących się w badaniach cyberbezpieczeństwa pozyskało bardzo dużą wiedzę na temat tego przypadku w innych środowiskach, w których dzielenie się informacjami technicznymi funkcjonuje w sposób właściwy (jak wspomniano przypadek dotknął wiele innych instytucji w innych krajach). Firmy te dzieliły się wynikami swoich badań. Wiedza ta pozwoliła w pełni zrozumieć mechanizmy ataku oraz wprowadzić dane (sygnatury, polityki) do systemów ochronnych.

CO DALEJ?

Incydent związany z naruszeniem bezpieczeństwa systemów informatycznych w skali ogólnopolskiej oraz cały tok postępowania w odniesieniu do tego zdarzenia powinien zostać wykorzystany do głębszej analizy. Należy wyciągnąć wnioski i przygotowywać się na kolejne ataki na dużą skalę.

Wnioski z incydentu dotyczą wszystkich: zespołów bezpieczeństwa, CERT, CSIRT, operatorów telekomunikacyjnych, dostawców usług informatycznych, służb państwowych. A są to:

  • Konieczność znaczącej poprawy współpracy i wymiany informacji w ramach swoich kompetencji (między sobą, ale również podmiotami prywatnymi i zewnętrznymi).
  • Prowadzenie działań proaktywnych oraz weryfikacja zabezpieczeń.
  • Wdrażanie i stałe stosowanie polityk bezpieczeństwa, norm, standardów (m.in. budowanie bezpiecznych architektur, wdrażanie rozwiązań klasy Security by Design, Defense in Depth).
  • Przygotowanie oraz przetestowanie procedur obsługi incydentów, eskalowania tych incydentów i powiadamiania innych elementów obrony cybernetycznej.
  • Nie można pozostawić żadnego obszaru poza kontrolą bezpieczeństwa, gdyż nawet na pozór nieistotne miejsca w cyberprzestrzeni mogą stanowić punkt wejściowy do ataku.
  • W skali ogólnopolskiej powinien powstać Plan Reagowania na Incydenty Komputerowe (Incident Response Plan – IRP).

Należy zastanowić się jakie są możliwości powtórzenia ataku – na sektor bankowy, czy na inne sektory gospodarki lub usług publicznych (np. służbę zdrowia). Prawdopodobieństwo jest bardzo duże. Przestępczość tradycyjna przenosi się w świat cybernetyczny, szpiegostwo tradycyjne przenosi się do świata cyfrowego, cenne informacje są przechowywane w systemach komputerowych, posługujemy się wirtualnymi walutami. To wszystko sprawia, że staliśmy się celem. Ważne byśmy (jako obywatele, jako specjaliści od systemów informatycznych, bezpieczeństwa) zdali sobie sprawę z tego zagrożenia i wyciągnęli wnioski z ataku, który miał miejsce. Wart podkreślenia jest fakt, iż atakujący nie niszczą danych, nie chcą okupu – ich głównym celem stała się informacja. Nie wiemy czy to co zostało zaobserwowane to cały atak, czy raczej przygotowanie do jakiegoś większego i bardziej celowanego ataku. Jak widać atakujący przygotowują precyzyjne plany i scenariusze, a obywatele i informacje o nich stały się celem. To może skutkować złożonymi atakami na infrastrukturę administracji publicznej, czy też infrastrukturę krytyczną, taką jak sektor finansowy, ale nie tylko. Nie tak trudno sobie wyobrazić przejęcie w podobnym ataku systemów zarządzania ruchem, czy powiadamiania kryzysowego.

Kampania Ratankba, którą zaobserwowaliśmy w polskim sektorze finansowym wg badaczy z wielu ośrodków dotyczyła ponad 104 podmiotów w 31 krajach, nie ograniczała się jedynie do jednego sektora, finansowego – złośliwą aktywność zaobserwowano w firmach z branż: ubezpieczeń, telekomunikacji, lotnictwa, edukacji, usług teleinformatycznych (hostingi), usług doradczych [6]. Rozważając wpływ każdej z tych branż na infrastrukturę krytyczną Polski, zaryzykować można wniosek, że usługi finansowe jako jedyne tak intensywnie inwestujące w nowe technologie i uzależniające od nich swoich klientów, są atrakcyjnym celem adwersarzy, których interesem mogłaby być destabilizacja sytuacji społecznej i gospodarczej w kraju. Próby podważenia zaufania do polskiego systemu finansowego, dzisiaj szczęśliwie nieskuteczne, powinny zostać uwzględnione w planach zarządzania kryzysowego, tak aby powstały i zostały przetestowane okresowo testy odporności systemu finansowego na zagrożenia płynące z nowoczesnych technologii informatycznych. Tak samo jak to ma miejsce w innych obszarach infrastruktury krytycznej.

Czy gdyby dziś nastąpił atak o podobnym stopniu skomplikowania, bylibyśmy w stanie go wykryć? Jak byśmy zareagowali? To podstawowe pytania na jakie instytucje odpowiedzialne za bezpieczeństwo obywateli muszą odpowiedzieć.

KOMENTARZ

Właściwe podejście do reakcji na atak powinno znaleźć swoje odzwierciedlenie w planach postępowania na wypadek jego wystąpienia. Aby być przygotowanym na atak i podjąć właściwe kroki organizacja musi mieć opracowany całościowy plan postępowania na wypadek wystąpienia incydentu. Każdy trwający atak powinien wyzwolić działania, które zostały przewidziane w procedurach. Należy umożliwiać również elastyczne korzystanie z dostępnej wiedzy i specjalistów, a w szczególności dopasowanie procedur do scenariusza ataku. Odpowiadając za cyberbezpieczeństwo trzeba mieć świadomość, iż atakujący może mieć wiele prób i może popełnić wiele pomyłek. Zespół broniący cyberbezpieczeństwa nie może się pomylić ani razu, gdyż skutki pomyłki „blue team’u” zawsze są kosztowne.

Źródła:

  1. http://www.cashless.pl/wiadomosci/bezpieczenstwo/2243-knf-zrodlem-cyberinfekcji-sektora-finansowego-bankowcy-uspokajaja-pieniadze-klientow-sa-bezpieczne
  2. http://www.money.pl/gospodarka/wiadomosci/artykul/atak-na-banki-hakerzy-abw-wlamania-do-bankow,220,0,2256604.html
  3. http://www.polskieradio.pl/5/3/Artykul/1723781,Atak-na-strone-KNF-Byl-zaawansowany-technicznie-i-profesjonalny
  4. http://www.money.pl/gospodarka/wiadomosci/artykul/cyberatak-na-knf-prokuratura-sledztwo-hakerzy,162,0,2259362.html
  5. https://zaufanatrzeciastrona.pl/post/wlamania-do-kilku-bankow-skutkiem-powaznego-ataku-na-polski-sektor-finansowy/
  6. https://zaufanatrzeciastrona.pl/post/techniczna-analiza-scenariusza-przebiegu-ataku-na-polskie-banki/
  7. https://zaufanatrzeciastrona.pl/post/polityka-komercja-i-niekompetencja-czyli-echa-ataku-na-polskie-banki/
  8. http://blog.trendmicro.com/trendlabs-security-intelligence/ratankba-watering-holes-against-enterprises/
  9. http://www.cashless.pl/wiadomosci/bezpieczenstwo/2376-po-cyberataku-knf-zbuduje-swoja-nowa-strone-internetowa
  10. http://baesystemsai.blogspot.in/2017/02/lazarus-watering-hole-attacks.html
  11. http://baesystemsai.blogspot.in/2017/02/lazarus-false-flag-malware.html
  12. https://www.symantec.com/connect/blogs/attackers-target-dozens-global-banks-new-malware-0
  13. https://badcyber.com/several-polish-banks-hacked-information-stolen-by-unknown-attackers/
  14. https://blog.cyber4sight.com/2017/02/technical-analysis-watering-hole-attacks-against-financial-institutions/
  15. http://www.welivesecurity.com/2017/02/16/demystifying-targeted-malware-used-polish-banks/
  16. http://www.pcworld.com/article/3169413/security/recent-malware-attacks-on-polish-banks-tied-to-wider-hacking-campaign.html
  17. http://www.polskieradio.pl/42/273/Artykul/1744444,Hakerzy-z-Korei-Polnocnej-odpowiadaja-za-probe-ataku-na-20-polskich-bankow-Zastosowali-taktyke-wodopoju
  18. https://www.nytimes.com/2017/03/25/technology/north-korea-hackers-global-banks.html?_r=0