Rafinált és kifejezetten veszélyes kiberbűnözők aktivizálták magukat

Rafinált és kifejezetten veszélyes kiberbűnözők aktivizálták magukat
Pénzügyi szervezeteket támadnak rejtett APT stílusú felderítés, személyre szabott rosszindulatú programok, törvényes szoftverek és új, innovatív pénzkivételi módszerek segítségével.
Egy évvel azután, hogy a Kaspersky Lab arra figyelmeztetett, a kiberbűnözők az államok által támogatott APT-k eszközeit és taktikáját használják majd a bankrablásokhoz, a cég megerősítette a Carbanak csoport Carbanak 2.0-ként való visszatérését, valamint felfedett további két csoportot – Metel és GCMAN –, amelyek ugyanabban a stílusban dolgoznak. Pénzügyi szervezeteket támadnak rejtett APT stílusú felderítés, személyre szabott rosszindulatú programok, törvényes szoftverek és új, innovatív pénzkivételi módszerek segítségével. A Kaspersky Lab GReAT csapata tette ezt a bejelentést a Kaspersky Security Analyst Summit (SAS) éves rendezvényén, amely találkozóhelye a vírusellenes kutatóknak és fejlesztőknek, a globális bűnüldöző szerveknek és CERT-eknek, valamint a biztonsági kutató közösség tagjainak.

Tényleg durva dolgokra képesek
A Metel kiberbűnözői csoportnak rengeteg trükk van a tarsolyában, de különösen érdekessé egy rendkívül okos módszer teszi, amelynek révén ellenőrzést szerez a bankok pénzügyi tranzakciókhoz hozzáférő számítógépei (például a banki call center gépek) felett, így a bűnbanda automatizálhatja az ATM kifizetések visszaállítását. A visszaállítási képesség biztosítja, hogy a bankkártyák egyenlege ugyanaz marad, függetlenül a végrehajtott ATM tranzakciók számától. Az eddigi tapasztalatok szerint a kiberbűnözői csoport úgy lop pénzt, hogy éjszakánként körbeautózza az orosz városokat, és kiüríti több bank ATM-eit úgy, hogy a lopáshoz mindig ugyanazt, a feltört pénzintézet által kiadott bankkártyát használják. Így egyetlen éjszaka alatt tudnak készpénzhez jutni.

Gyorsan dolgoznak
“Manapság a kibertámadások aktív szakasza egyre rövidebb. Amikor a támadók gyakorlottá válnak egy adott műveletben, akkor csupán napokig vagy hetekig tart, hogy megszerezzék, amit akarnak és elmeneküljenek.“ – mondta Sergey Golovanov,a Kaspersky Lab GReAT csapatának vezető kutatója.

A vizsgálat során a Kaspersky Lab szakértői kiderítették, hogy a Metel üzemeltetői a kezdeti fertőzést speciálisan kialakított, rosszindulatú melléklettel ellátott, célzott adathalász e-mailekkel, valamint a Niteris kihasználó csomag segítségével érik el, az utóbbi az áldozat böngészőjének sebezhetőségeit támadja. Miután behatoltak a hálózatba, a számítógépes bűnözők legális eszközökkel hajtanak végre laterális mozgásokat, eltérítik a helyi domain vezérlőt, és ellenőrzést szereznek a kártyák feldolgozásért felelős banki dolgozók számítógépei felett.

Úgy tűnik, a Metel csoport aktív maradt, ezért a tevékenységével kapcsolatos nyomozás tovább folytatódik. Eddig nem azonosítottak Oroszországon kívüli támadást. Ennek ellenére vannak olyan feltételezések, hogy a fertőzés sokkal elterjedtebb, és a bankoknak világszerte azt tanácsolják, hogy proaktív módon ellenőrizzék az esetleges fertőzést.
Mind a három azonosított banda rosszindulatú programokat és legális szoftvereket egyaránt használ csalásai során: miért írjanak egy rakás kártékony programot, amikor a legális segédprogramok ugyanolyan hatékonyak tudnak lenni, és jóval ritkábban indítanak be riasztást.

De titkosság tekintetében a GCMAN hackerei még tovább mennek: néha sikeres támadást tudnak végrehajtani vállalatok ellen bármiféle rosszindulatú program használata nélkül, csupán törvényes eszközök segítségével. A Kaspersky Lab szakértői által kivizsgált esetekben előfordult olyan GCMAN hacker, aki Putty, VNC és Meterpreter segédprogramokat használt a hálózatban való laterális mozgásra, amíg elért egy olyan számítógépet, amellyel pénzutalást lehetett végrehajtani e-valuta szolgáltatásokra anélkül, hogy más banki rendszereket riasztana.

Nagyon türelmesek
A Kaspersky Lab által megfigyelt egyik támadásban a kiberbűnözők másfél évig voltak a hálózaton belül, mielőtt véghez vitték a lopást. A pénzt 200 dollár körüli összegekben utalták át, ami a névtelen utalások felső határa Oroszországban. A CRON ütemező minden percben elindított egy rosszindulatú szkriptet, és egy újabb összeg került át egy e-valuta számlára. A tranzakciós megbízásokat közvetlenül a bank upstream fizetési átjárójához küldték és azok sehol sem bukkantak fel a bank belső rendszereiben. És végül a Carbanak 2.0 a Carbanak APT fenyegetés (fejlett folyamatos fenyegetés) újbóli megjelenését jelzi, ugyanazokkal az eszközökkel és technikákkal, de eltérő áldozati profillal és innovatív kifizetési módszerekkel. 2015-ben a Carbanak 2.0 célpontjai nem csupán bankok voltak, hanem bármely, a hackerek érdeklődésére számot tartó szervezet költségvetési és könyvelési osztálya.
A Kaspersky Lab által megfigyelt egyik esetben a Carbanak 2.0 csoport hozzáférést szerzett egy pénzügyi intézmény rendszeréhez, és képes volt megváltoztatni egy nagy cég tulajdonosi adatait. Az információt úgy módosították, hogy egy strómant neveztek meg a társaság egyik részvényesének.

“A pénzügyi szervezetek elleni, 2015-ben feltárt támadások aggasztó tendenciát mutatnak, mivel a kiberbűnözők agresszív átfogó, APT stílusú támadásokat hajtanak végre. A Carbanak banda csak az első volt a sok közül: a kiberbűnözők gyorsan megtanulják, hogyan használják az új technikákat, és egyre gyakrabban látjuk, hogy a felhasználók helyett közvetlenül a bankokat támadják meg. A logikájuk egyszerű: ott van a pénz.” – figyelmeztet a veszélyekre Sergey Golovanov, “Célunk, hogy  megmutassuk, hol és hogyan csaphatnak le a hackerek az önök pénzére. Arra számítok, hogy miután hallanak a GCMAN támadásokról, ellenőrizni fogják, hogyan vannak védve a bankjaik rendszerei, míg a Carbanak esetében azt javasoljuk, hogy a számlatulajdonosok adatait tartalmazó adatbázist védjék meg, ne csak az egyenlegeiket.”

A Kaspersky Lab termékei sikeresen észlelik és blokkolják a Carbanak 2.0, a Metel és a GCMAN által használt rosszindulatú programokat. A cég ugyancsak kiad kulcsfontosságú IOC és más adatokat, hogy segítsen a szervezeteknek ezen támadási csoportok nyomainak a vállalati hálózatban való felkutatásában. Figyelmeztetünk minden szervezetet, alaposan vizsgálják át hálózatukat a Carbanak, a Metel és a GCMAN jelenléte után, és ha ez kimutatható, jelentsék a behatolást a bűnüldöző szerveknek.