2016 végén a Kaspersky Lab szakemberei felvették a kapcsolatot a FÁK tagállamok (a Szovjetunió 15 volt tagországának szövetsége) olyan bankjaival, amelyek behatolás-tesztelő programokat észleltek a szerverhálózatok memóriájában, mint például a Meterpreter programot. Ezt a programot manapság főként rosszindulatú célokra használják. A Kaspersky Lab fedezte fel, hogy a Meterpreter programkódját kombinálták a PowerShell legális szoftver parancsállományával és más egyéb szkriptekkel. Ez a kombináció alkalmas arra, hogy elrejtőzzön a memóriában és észrevétlenül gyűjtse az információkat, mint például rendszergazda jelszavakat és ilyen módon akár távolról is átvegye az irányítást az áldozat rendszerén. Úgy tűnik, a végső célja a kiberbűnözöknek a pénzügyi folyamatokhoz való teljes hozzáférés. Kiderült, hogy a fent említett esetek nem egyediek, valójában tömeges támadásról beszélhetünk: több mint 140 vállalati hálózat elleni támadást regisztráltak számos üzleti szektorban.
Ismeretlen támadók
A legtöbb áldozat az Egyesült Államokban, Franciaországban, Ecuadorban, Kenyában, az Egyesült Királyságban és Oroszországban található. Összesen 40 országban észleltek fertőzött hálózatokat. Egyelőre ismeretlen a támadások elkövetője. A nyílt forráskód, a Windows segédprogramok és az ismeretlen domain nevek használata szinte lehetetlenné teszi, hogy meghatározzák a támadások elkövetőit. Jelenleg azt sem lehet megállapítani, hogy egy vagy akár több csoport használja ugyanazokat az eszközöket a támadásokra. A GCMAN és a Carbanak bűnöző csoport használ ehhez hasonló módszert. A fent említett eszközök használata azt is megnehezíti, hogy a támadás részleteit megismerhessük. Egy kiber incidens során a szokásos felderítő eljárás folyamán a nyomozó követi a nyomokat és a mintákat, amit a támadók a fertőzött hálózatban hagytak. Míg a merevlemezen tárolt „hátrahagyott” adatokat akár a támadás után egy évvel is észlelni lehet, addig a memóriában tárolt kártékony programsorok a számítógép első újraindítása után törlődnek. Szerencsére ebben az esetben a szakértők időben hozzáfértek az adatokhoz.Az ATM-ek sincsenek biztonságban
"A támadók alapvető szándéka, hogy elrejtsék a tevékenységüket valamint nehezítsék a felderítésüket, ezért a memória-alapú támadások egyre elterjedtebbek, ami tovább nehezíti a kártékony programok és azok funkcióinak elemzését. A fenti esetekben a támadók minden elképzelhető technikát felhasználtak és bemutatták, hogy már nem szükséges a malware-ek használata egy eredményes támadáshoz: a legális szoftverek és/vagy nyílt forráskódok alkalmazása tökéletesen ellehetetleníti a detektálást." – mondta Sergey Golovanov, Kaspersky Lab fő biztonsági kutatója. A támadók még mindig aktívak, ezért fontos megjegyezni, hogy egy ilyen támadás észlelése csak a memóriában és a hálózatban lehetséges valamint ilyen esetekben a Yara szabályok használata a nem használt kártevő fájlok átvizsgálásán alapul.A kiber roham második részének részleteinek ismertetésével Sergey Golovanov és Igor Soumenkov az idei Biztonsági Elemzés Csúcstalálkozón (április 2-6. között) prezentálják, hogy a támadók miként próbálnak az ATM-eken keresztül egyedi módszerekkel pénzhez jutni. A Kaspersky Lab termékei sikeresen észlelték a fenti módszereket, technikákat és eljárásokat. Bővebb információt az esetekről és a Yara-szabályok kriminalisztikai elemzéséről a Securelist.com blogon olvashat. A technikai részleteket, beleértve a „behatolásra utaló jeleket” (Indicators of Compromise) az ügyfelek számára a „Kaspersky Intelligence Services” biztosítja. Az olyan csoportos kombinált támadások, mint amilyeneket a GCMAN vagy a Carbanak csoport elkövet, speciális informatikai ismereteket igényel. Az idei Biztonsági Elemzés Csúcstalálkozó során a Kaspersky Lab szakemberei képzést tartanak specialistáknak, hogy segítsenek a kifinomult célzott támadások észlelésében.
Kövesd az oldalunkat a Facebook-on és a Twitteren is!
