29/04/2019

Kod źródłowy programu Carbanak wyciekł. Czego można się spodziewać?

Informacje

Jakiś czas temu w mediach pojawiła się informacja na temat zagrożenia Carbanak. Badacze ds. bezpieczeństwa odkryli kod źródłowy tego niesławnego szkodliwego programu na otwartym portalu VirusTotal. Carbanak został uznany za najskuteczniejsze cyberzagrożenie finansowe w historii, powodujące straty finansowe szacowane na ok. miliard dolarów.

Krótka historia zagrożenia Carbanak

Nasi eksperci zidentyfikowali i przeanalizowali zagrożenie Carbanak w 2014 roku. Badając serię incydentów kradzieży pieniędzy z bankomatów, odkryli powiązania między nimi. Okazało się, że była to ogromna kampania międzynarodowa, której celem była kradzież ogromnych sum z różnych banków na całym świecie. Początkowo nasi eksperci badali incydenty tylko na trenie Europy Wschodniej, jednak wkrótce zaczęli natykać się na kolejne ofiary zlokalizowane w Stanach Zjednoczonych, Niemczech i Chinach.

Podobnie jak wiele innych ataków, wspomniana kampania rozpoczęła się od phishingu ukierunkowanego. Była to bardzo precyzyjna kampania przeprowadzona przy wykorzystaniu wiadomości e-mail zawierających szkodliwe załączniki, które instalowały backdoora przy pomocy szkodliwego oprogramowania Carberp. Backdoor ten stanowił punkt wejściowy do całej sieci wybranej organizacji — w tym przypadku sieci banków — i umożliwiał włamywanie się na komputery, dzięki czemu atakujący mogli wyłudzać pieniądze.

Złodzieje mogli zdobyć pieniądze na kilka sposobów. W niektórych przypadkach zdalnie instruowali bankomaty, aby wypłacały pieniądze, które odbierały tzw. muły finansowe. Czasami przesłali pieniądze bezpośrednio na swoje konta poprzez sieć SWIFT. Metody te nie były powszechnie stosowane w 2014 roku, zatem skala zjawiska i technologie stosowane przez Carbanak były ogromnym zaskoczeniem zarówno dla branży bankowości, jak i cyberbezpieczeństwa.

Co przyniesie przyszłość?

Po wykryciu zagrożenia Carbanak nasi eksperci zidentyfikowali inne ataki (na przykład Silence) stosujące podobne taktyki oraz oznaki tej samej grupy przestępczej, która pozostała dosyć aktywna. Jednak z uwagi na to, że kod źródłowy zagrożenia Carbanak został upubliczniony, można się spodziewać, że podobne incydenty będą się zdarzać znacznie częściej. Teraz jest on dostępny nawet dla oszustów, którym brakuje umiejętności kodowania umożliwiających tworzenie tak skomplikowanego szkodliwego oprogramowania. Badacz z Kaspersky Lab, Siergiej Golowanow, który od początku badał ten przypadek, skomentował to tak:

„To, że kod źródłowy niesławnego szkodliwego programu Carbanak był dostępny na stronie internetowej z otwartym kodem źródłowym, nie wróży zbyt dobrze: szkodliwy program Carbanak został pierwotnie utworzony w oparciu o kod źródłowy złośliwego programu Carberp po opublikowaniu go w internecie. Mamy uzasadnione przypuszczenia, że scenariusz ten powtórzy się oraz że jeszcze nie raz napotkamy niebezpieczne modyfikacje zagrożenia Carbanak. Dobra wiadomość jest taka, że od chwili wycieku zagrożenia Carberp branża cyberbezpieczeństwa znacząco ewoluowała, więc rozwiązania ochronne z łatwością rozpoznają zmodyfikowany kod. Firmom i osobom prywatnym zalecamy zapewnienie sobie ochrony przed tym i podobnymi zagrożeniami przy użyciu solidnego rozwiązania zabezpieczającego”.

Jak zapewnić sobie bezpieczeństwo?

Aby zapewnić sobie bezpieczeństwo przed takimi zagrożeniami jak Carbanak, zalecamy postępowanie zgodnie z następującymi zasadami:

  • Zintegruj źródła danych udostępnianych w ramach usługi Threat Intelligence ze swoim systemem SIEM i innymi narzędziami kontroli bezpieczeństwa, aby mieć dostęp do najważniejszych i najnowszych danych na temat zagrożeń oraz móc przygotować się na ewentualne ataki. Aby zabezpieczyć się przed takimi zaawansowanymi zagrożeniami, należy wiedzieć o ich istnieniu oraz mieć świadomość, na co zwracać uwagę — a wszystkie informacje na ten temat dostarcza analiza zagrożeń dokonywana w ramach naszej usługi.
  • Zainstaluj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response, które umożliwią wykrywanie, analizę i leczenie incydentów na poziomie punktów końcowych. Wykrywanie na punkcie końcowym aktywności podobnej do tej, jaką wykazuje Carbanak, wymaga natychmiastowej reakcji, a pomóc w tym mogą właśnie rozwiązania EDR.
  • Oprócz wdrożenia podstawowej ochrony na punkcie końcowym zaimplementuj rozwiązanie zabezpieczające klasy korporacyjnej, które potrafi wykrywać zaawansowane zagrożenia na poziomie sieci we wczesnym etapie infekcji. Przykładem takiego rozwiązania jest Kaspersky Anti Targeted Attack Platform.