carbanak
W 2015 roku byliśmy świadkami wzrostu cyberprzestępczości związanej z kradzieżą pieniędzy bezpośrednio z banków. Kilka grup doszlifowało narzędzia i techniki APT i tym samym sięgnęło do kieszeni co najmniej 29 rosyjskich banków.
Ofiary zwróciły się o pomoc do Kaspersky Lab, więc nasz Globalny Zespół ds. Badań i Analiz (GReAT) wziął się ostro do pracy. Przeprowadzone dochodzenie ujawniło trzy odrębne grupy hakerskie, które przysporzyły wielomilionowe szkody. Podczas spotkania Security Analyst Summit 2016 eksperci z GReAT-u przedstawili wyniki swoich badań i zaprezentowali raport objaśniający rezultaty dochodzenia. Ze względów bezpieczeństwa nazwy ofiar nie zostały ujawnione.
Bankomaty na końcu spustu
Trojan bankowy o melodyjnie brzmiącej nazwie Metel (również znany jako Corkow) został po raz pierwszy odkryty w 2011 roku; od tego czasu to szkodliwe oprogramowanie polowało na użytkowników e-bankowości. W 2015 roku cyberprzestępcy stojący za trojanem Metel obrali za cel banki, a w szczególności bankomaty. Wykorzystując swoje doświadczenie oraz szkodliwe kampanie, przestępcy zamienili swoje zwykłe karty kredytowe na nielimitowane. Prawie jak drukowanie pieniędzy, tylko w znacznie lepszej wersji.
Jak tego dokonali?
Przestępcy sukcesywnie infekowali kolejne komputery pracowników banku, rozsyłając emaile phishingowe, które zawierały szkodliwe pliki wykonywalne, lub wykorzystując luki w zabezpieczeniach przeglądarki. Po przeniknięciu do sieci używali legalnego oprogramowania w celu włamywania się do kolejnych komputerów dotąd, aż dostali się do żądanego urządzenia – tego, które odpowiada za dostęp do transakcji pieniężnych. Na przykład były to komputery operatorów call center lub pomocy technicznej.
W rezultacie za każdym razem, gdy przestępcy chcieli pobrać pieniądze z karty zhakowanego banku w bankomacie należącego do innego banku, zainfekowany system automatycznie wycofywał zapis o wykonanej transakcji. Dzięki temu saldo na kartach pozostawało zawsze takie samo, więc cyberprzestępców ograniczała tylko kwota, jaka znajdowała się w bankomacie. Przestępcy dokonywali podobnych wypłat z różnych bankomatów.
O ile nam wiadomo, gang jest stosunkowo mały i składa się z około dziesięciu osób. Część zespołu porozumiewa się w języku rosyjskim i dotychczas nie wykryliśmy żadnych infekcji poza Rosją. Hakerzy są nadal aktywni i poszukują nowych ofiar.
Przebiegli przestępcy
Przestępcy z grupy GCMAN działali podobne, jednak zamiast okradać bankomaty, skupili się na transferowaniu pieniędzy z serwisów e-walutowych.
Aby dostać się do sieci, członkowie GCMAN rozsyłali ukierunkowane wiadomości phishingowe zawierające szkodliwe załączniki. Następnie przeszukiwali urządzenia specjalistów z działu HR oraz księgowych i czekali, aż administratorzy tych systemów zalogują się do nich. Czasami atakowali program Microsoft Word czy 1C (bardzo popularny program w Rosji używany przez księgowe). Gdy pracownik zgłosił problem z komputerem, administrator systemu logował się na swoje konto, a cyberprzestępcy kradli jego hasło.
Członkowie GCMAN podróżowali przez korporacyjną sieć banku bocznymi ścieżkami, aż znajdowali urządzenie, które mogłoby potajemnie przesyłać pieniądze do różnych serwisów e-walutowych. W niektórych organizacjach przestępcom udało się to nawet z pomocą legalnego oprogramowania oraz popularnych narzędzi do testów penetracyjnych, takich jak Putty, VNC czy Meterpreter.
Transakcje te zostały wykonane za pomocą skryptu cron, który przesyła automatycznie małe sumy pieniędzy co minutę. Jednorazowo wysyłano 200 dolarów — jest to górna granica dla anonimowych transakcji finansowych na terenie Rosji. Warto zauważyć, że złodzieje byli bardzo ostrożni. W jednym przypadku potajemnie przebywali w sieci przez półtora roku, hakując ukradkiem wiele urządzeń i kont.
Na chwilę obecną dysponujemy informacjami, że grupa GCMAN jest bardzo mała i liczy tylko jednego lub dwóch członków, którzy płynnie rozmawiają w języku rosyjskim.
Powrót Carbanaka
Grupa Carbanak prowadziła swoją aktywność w internecie od 2013 roku. Co jakiś czas znikała, aby później powrócić z nowym planem. Niedawno profil ofiar Carbanaka został rozszerzony; obecnie atakuje działy finansowe organizacji z praktycznie każdej branży, a nie tylko banki — jak miało to miejsce na początku. Grupa ta już ukradła wiele milionów różnym firmom na całym świecie, następnie wycofała się ze swoich działań i 4 miesiące temu powróciła ze swoim nowym planem.
Aby włamywać się do infrastruktury i okradać swoje ofiary, przestępcy używali typowych narzędzi i metod APT. Na początku wykorzystywali kampanie phishingowe, które umożliwiały zainfekowanie korporacyjnej sieci: otwierając załącznik e-mail, ofiara instalowała nieświadomie szkodliwe oprogramowanie przygotowane przez Carbanak.
Po zhakowaniu komputera przestępcy szukali dostępu do konta administratora systemu, a następnie kradli dane logowania, aby włamać się do kontrolera domeny i wykraść pieniądze z kont bankowych, a nawet zmieniać dane właściciela firmy.
O ile nam wiadomo, Carbanak jest międzynarodową grupą, która obejmuje przestępców z Rosji, Chin, Ukrainy, a także innych krajów Europy. Cały gang składa się z kilkudziesięciu osób. Więcej informacji na temat tego zagrożenia można znaleźć tutaj.
Pracuję w banku. Co powinienem zrobić?
Jeśli pracujesz w instytucji finansowej, zachowaj wzmożoną czujność. Jak wynika z powyżej opisanych sytuacji, pewnego dnia i Ty możesz stać się pracownikiem, który przypadkowo zaprosi cyberprzestępców do biura. Pewnie nawet nie chcesz się zastanawiać, co by było dalej. Aby uniknąć takiej sytuacji, radzimy Ci przeczytać następujące artykuły:
- Dlaczego phishing działa i jak go uniknąć
- Nie unikaj aktualizacji
- 10 porad, jak ochronić swoje pliki przed ransomware’em
Na zakończenie chciałabym dodać, że rozwiązania Kaspersky Lab wykrywają i powstrzymują wszystkie rodzaje szkodliwego oprogramowania stworzonego przez Carbanak, Metel, GCMAN.
Porady