Kaspersky upozorava na nove bankarske prijetnje i malver platforme

Godinu dana nakon što su stručnjaci iz kompanije Kaspersky Lab upozoravali na činjenicu da će sajber kriminalci u sve većoj mjeri koristiti APT napade za pljačkanje banaka, iz kompanije je potvrđeno da je Carbanak grupa ponovo aktivna, pri čemu su otkrivene još dvije grupe koje koriste iste tehnike za napad: Metel i GCMAN.Ove grupe napadaju finansijske organizacije pomoću „izviđačkih“ i drugih, specijalno kreiranih, APT malver programa, kao i pomoću legitimnih softvera i inovativnih metoda za krađu novca.

Stručnjaci iz globalnog tima za istraživanje i analizu kompanije Kaspersky Lab saopštili su ovu vijest na Samitu bezbjednosnih analitičara (SAS) koji organizuje kompanija Kaspersky Lab, godišnjem događaju koji povezuje anti-malver istraživače i programere, globalne agencije za sprovođenje zakona i članove CERT-a (Computer Emergency Response Team), kao i članove zajednice bezbjednosnih istraživača.

Hakerska grupa Metel koristi brojne trikove, ali je naročito zanimljiva zbog upotrebe izuzetno lukave taktike: napadači preuzimaju kontrolu nad uređajima unutar banke koji imaju pristup novčanim transakcijama (npr. kol centar banke/računari koji se koriste kao podrška), i na taj način automatizuju kompromituju transakcije na bankomatima.

Nakon kompromitovanja transakcija na bankomatu, trenutno stanje na debitnim karticama ostaje isto bez obzira na to koliko transakcija napadač izvrši na bankomatu. U situacijama koje su zabilježili nadležni organi, kriminalna grupa u Rusiji krala je novac tako što su se njeni članovi vozili od mjesta do mjesta, uglavnom u kasnim večernjim satima, i praznile bankomate određenih banaka, konstantno koristeći istu debitnu karticu koju im je izdala kompromitovana banka. Tokom samo jedne noći, kriminalna grupa uspjela je da isprazni sve bankomate.

U današnje vrijeme, aktivna faza sajber napada postaje sve kraća. Kada se napadači izvješte u određenom poslu, dovoljno im je samo nekoliko dana da ukradu šta žele i krenu u bjekstvo”, izjavio je Sergej Golovanov (Sergey Golovanov), jedan od glavnih bezbjednosnih istraživača u globalnom timu za istraživanje i analizu u kompaniji Kaspersky Lab.

Tokom forenzičke istrage, stručnjaci iz kompanije Kaspersky Lab otkrili su da članovi hakerske grupe Metel sprovode inicijalno inficiranje uređaja pomoću specijalno kreiranih „fišing“ i-mejl poruka koje sadrže maliciozne fajlove, kao i pomoću Niteris alata koji koristi ranjivosti na internet pretraživaču korisnika. Nakon što se inflitriraju na mrežu, sajber kriminalci koriste legitimne alate kako bi se lateralno kretali po mreži, i na taj način preuzimaju kontrolu nad lokalnim kontrolorom domena i dobijaju pristup računarima koje koriste zaposleni zaduženi za rad se platnim karticama.

Metel grupa je i dalje aktivna i istraga o njihovim aktivnostima je u toku. Za sada nisu identifikovani napadi van teritorije Rusije. Međutim, postoje indicije da je infekcija ovim virusom rasprostranjenija, i stručnjaci savjetuju svim bankama da preventivno provjeravaju svoje sisteme.

Sve tri hakerske grupe koriste kombinaciju malver programa i legitimnog softvera u svojim kriminalnim aktivnostima. Razlog za to jeste činjenica da se na ovaj način smanjuje šansa za detekciju, pri čemu efikasnost napada ne gubi na snazi.

Međutim, kada je u pitanju nevidljivost, hakerska grupa GCMAN ide korak dalje: U određenim situacijama, ova grupa može da sprovede napada na organizaciju bez upotrebe ikakvog malvera, već samo pomoću legitimnog softvera. U situacijama koje su zabilježili stručnjaci iz kompanije Kaspersky Lab, hakerska grupa GCMAN koristila je Putty, VNC i Meterpreter alate kako bi se lateralno kretala kroz mrežu, sve do trenutka kada su napadači dobili pristup određenim računarima banke bez aktiviranja ostalih sistema banke.

Tokom jednog napada koji su zabilježili stručnjaci iz Kaspersky Lab-a, sajber kriminalci ostali su na mreži godinu i po dana prije sprovođenja samog napada. Novac je bio brebacivan u iznosima od 200 američkih dolara, što predstavlja gornju granicu za anonimne uplate u Rusiji. Svakog minuta, CRON alat aktivirao je malicioznu skriptu prilikom čega je suma od 200 američkih dolara bila prebačena na elektronski račun koji pripada posredniku. Nalozi o transakcijama su poslati direktno na uzvodnu mrežu plaćanja i nisu se pojavljivali na internim sistamima banke.

Takođe, Carbanak 2.0 predstavlja ponovno pojavljivanje Carbanak napredne uporne pretnje (APT) koja koristi iste alate i tehnike, ali je profil žrtava drugačiji i koriste se inovativni načini za podizanje novca.

Tokom 2015. godine, mete Carbanak 2.0 prijetnje nisu bile sam banke, već i finansijski i revizorski sektori brojnih organizacija. Prilikom napada koji su zabilježili stručnjaci iz Kaspersky Lab-a, članovi grupe Carbanak 2.0 uspjeli su da dobiju pristup finansijskoj instituciji i izmijene dokmunete o vlasničkim pravima u velikoj kompaniji.

Napadi na finansijske institucije tokom 2015. godine ukazuju na zabrinjavajuć trend da sajber kriminalci u sve većoj mjeri koriste APT napade. Grupa Carbanak je samo začetnik ovog trenda: sajber kriminalci brzo usvajaju nove tehnike za sprovođenje napada, pri čemu je primjetno da sve veći broj njih sada direktno napada banke, a ne krajnje korisnike. Oni se vode logikom da se tu nalazi najveća količina novca“, upozorava Golovanov . „Ono što mi želimo da pokažemo jeste na koji način i gdje tačno napadači mogu da ukradu vaš novac. Očekujem da će korisnici, nakon informacije o napadima grupe GCMAN, provjeriti da li su veb serveri banaka zaštićeni. U slučaju grupe Carbanak, savjetujemo korisnicima da zaštite baze podataka koje sadrže informacije o vlasničkim pravima, budući da i ti dokumenti mogu biti meta napada”.

Economy

Slični Članci