Nowe metody i zagrywki cyberprzestępców. Są przebiegli i cierpliwi, ale skuteczni

Rok po ostrzeżeniu przed tym, że cyberprzestępcy zaczną stosować do okradania banków narzędzia i taktyki charakterystyczne dla zaawansowanych ataków ukierunkowanych (APT), eksperci potwierdzili powrót kampanii Carbanak i zidentyfikowali dwie kolejne grupy działające w tym samym stylu: Metel oraz GCMan. Ugrupowania te atakują organizacje finansowe, przeprowadzając ukradkowy rekonesans i wykorzystując spersonalizowany szkodliwy program wraz z legalnymi narzędziami oraz nowymi, innowacyjnymi oszustwami mającymi na celu kradzież pieniędzy. Aby zrozumieć cyberzagrożenia, które na nas czyhają niemal na każdym kroku, należy zrozumieć schemat i sposoby działania cyberprzestępców.

Nowe metody i zagrywki cyberprzestępców. Są przebiegli i cierpliwi, ale skuteczni
Źródło zdjęć: © chip.pl
2

Metel – kradzież 200 dolarów co minutę

Ugrupowanie cyberprzestępcze Metel ma w swoim repertuarze mnóstwo sztuczek, jest jednak szczególnie interesujące ze względu na niezwykle sprytny chwyt: przejmując kontrolę nad maszynami w banku, które mają dostęp do transakcji pieniężnych (np. call center banku lub komputerów działu pomocy technicznej), *gang może zautomatyzować wycofanie transakcji bankomatowych. *

Obraz
© (fot. Kaspersky Lab)

Możliwość wycofania transakcji powoduje, że stan środków na kartach debetowych pozostaje taki sam niezależnie od liczby przeprowadzonych transakcji bankomatowych. W zaobserwowanych dotychczas przypadkach grupa przestępcza kradnie pieniądze, jeżdżąc nocą po miastach w Rosji i opróżniając bankomaty należące do różnych banków, wykorzystując podczas tych akcji te same karty debetowe wydawane przez atakowany bank.

Obecnie obserwujemy skrócenie fazy aktywnej cyberataku. Kiedy przestępcy staną się biegli w określonej operacji, będą potrzebowali zaledwie kilku dni lub tygodnia, aby zdobyć łup i uciec.

Obraz
© (fot. Kaspersky Lab)

Podczas dochodzenia eksperci z Kaspersky Lab odkryli, że ugrupowanie Metel dokonuje wstępnej infekcji za pośrednictwem specjalnie spreparowanych e-maili phishingowych (phishing wiąże się z podszywaniem się pod inne podmioty - banki, pocztę, dostawców usług) wiadomości e-mail, które zawierają szkodliwe załączniki, oraz pakietu szkodliwych programów Niteris wykorzystujących luki w zabezpieczeniach przeglądarki ofiary. Po przeniknięciu do sieci cyberprzestępcy wykorzystują legalne narzędzia, porywając lokalny kontroler domen, a następnie lokalizując i przejmując kontrolę nad komputerami wykorzystywanymi przez pracowników banku odpowiedzialnych za obsługę kart płatniczych.

Obraz
© (fot. Kaspersky Lab)

Ugrupowanie Metel pozostaje aktywne i nadal prowadzone jest dochodzenie dotyczące jego działalności. Jak dotąd nie zidentyfikowano żadnych ataków poza Rosją. Wciąż jednak istnieją podstawy, aby sądzić, że infekcja ta jest znacznie bardziej rozpowszechniona, a bankom na całym świecie zaleca się, aby aktywnie sprawdzały swoje systemy pod tym kątem.

GCMan – atak prawie legalny

Wszystkie trzy zidentyfikowane gangi zwracają się w kierunku wykorzystywania w swoich oszustwach szkodliwego oprogramowania, któremu towarzyszy legalne narzędzie. Stoi za tym prosta idea – nie ma sensu tworzyć wielu spersonalizowanych szkodliwych modułów, gdy legalne programy mogą być równie skuteczne, a ponadto wzbudzają znacznie mniej podejrzeń.

Jednak pod względem ukradkowości ugrupowanie GCMan posuwa się jeszcze dalej: niekiedy jest w stanie skutecznie zaatakować organizację bez wykorzystywania w tym celu szkodliwego oprogramowania, używając jedynie legalnych aplikacji oraz narzędzi do testów penetracyjnych. W przypadkach zbadanych przez ekspertów ugrupowanie GCMan wykorzystywało narzędzia Putty, VNC oraz Meterpreter do poruszania się wewnątrz sieci do momentu trafienia na maszynę, która może zostać wykorzystana w celu przelewania pieniędzy do serwisów obracających e-walutami bez alarmowania innych systemów bankowych.

W jednym z ataków zaobserwowanych przez Kaspersky'ego, cyberprzestępcy „pozostawali”. w sieci banku przez półtora roku, zanim rozpoczęli kradzież. Pieniądze przelewano w kwotach wynoszących około 200 dolarów, co stanowi górną granicę anonimowych płatności w Rosji. Co minutę aktywowany był szkodliwy skrypt powodujący przelanie kolejnej sumy na konta należące do zwerbowanych słupów. Zlecenia przeprowadzenia transakcji były wysyłane bezpośrednio do nadrzędnej bramki płatniczej banku i nie zostały odnotowane w żadnych wewnętrznych systemach banku.

Carbanak 2.0 – powrót do korzeni

Wraz z dwoma nowymi cybergangami finansowymi, eksperci zidentyfikowali ponowne wyłonienie się grupy Carbanak. Grupa używa tych samych narzędzi i technik, jednak pojawiły się różnice w profilu ofiar oraz innowacyjne sposoby wyprowadzania pieniędzy. W 2015 r. cele ataków Carbanak 2.0 obejmowały nie tylko banki, ale również działy budżetowe i księgowe ofiar. W jednym z zaobserwowanych przypadków cyberprzestępcy zdobyli dostęp do instytucji finansowej i próbowali zmienić dane uwierzytelniające właściciela dużej firmy. Informacje zostały zmodyfikowane w taki sposób, aby zwerbowany słup został wymieniony jako udziałowiec firmy.

Obraz
© (fot. Kaspersky Lab)

Ataki na instytucje finansowe, które zostały wykryte w 2015 r., wskazują na niepokojący trend polegający na agresywnym stosowaniu przez cyberprzestępców technik rodem z działań APT. Gang Carbanak był jedynie pierwszym z wielu: obecnie cyberprzestępcy szybko się uczą, jak wykorzystywać nowe metody w swoich operacjach i coraz więcej z nich zamiast użytkowników atakuje bezpośrednio banki. Ich rozumowanie jest proste: to w bankach znajdują się prawdziwe pieniądze. Celem jest pokazanie, jak i gdzie dokładnie mogą uderzyć cyberprzestępcy, aby ukraść pieniądze z organizacji finansowych. Dowiadując się o nowych atakach, działy techniczne banków - miejmy nadzieję - sprawdzą, jaki sposób chronione są ich wewnętrzne systemy.

Wybrane dla Ciebie

USA zaatakowały Iran. Użyły najpotężniejszych bomb penetrujących na świecie
USA zaatakowały Iran. Użyły najpotężniejszych bomb penetrujących na świecie
AH-64E Guardian dla Polski. Pentagon wycofuje starsze śmigłowce
AH-64E Guardian dla Polski. Pentagon wycofuje starsze śmigłowce
Planują podwojenie jego produkcji. To europejski strażnik nieba
Planują podwojenie jego produkcji. To europejski strażnik nieba
Mnóstwo samolotów USAF u Saudów. Zdjęcia satelitarne pokazują prawdę
Mnóstwo samolotów USAF u Saudów. Zdjęcia satelitarne pokazują prawdę
Pancerny szturm Rosjan pod Konstatynówką. Dawno takiego nie było
Pancerny szturm Rosjan pod Konstatynówką. Dawno takiego nie było
Irański kasetowy pocisk balistyczny. Oto co znaleziono w Izraelu
Irański kasetowy pocisk balistyczny. Oto co znaleziono w Izraelu
Rośnie produkcja rosyjskich czołgów. Więcej T-90M niż na początku wojny
Rośnie produkcja rosyjskich czołgów. Więcej T-90M niż na początku wojny
British Army chce wzmocnić artylerię rakietową. Na horyzoncie kolejne M270
British Army chce wzmocnić artylerię rakietową. Na horyzoncie kolejne M270
Nowa era nauki o Słońcu. Wszystko zawdzięczamy sondzie Solar Orbiter
Nowa era nauki o Słońcu. Wszystko zawdzięczamy sondzie Solar Orbiter
"Kolekcjonerka kości". Badacze opisali niezwykłą gąsienicę
"Kolekcjonerka kości". Badacze opisali niezwykłą gąsienicę
Będą ich tysiące. Sojusznik wyśle Rosji posiłki
Będą ich tysiące. Sojusznik wyśle Rosji posiłki
Scena jak z filmu "Top Gun". Izraelski F-16 podczas polowania na drony
Scena jak z filmu "Top Gun". Izraelski F-16 podczas polowania na drony