cyber attack
Internet

Nevidljivi” napadi: Sajber kriminalci napadaju kompanije preko sakrivenog malvera

Banke, telekomunikacione kompanije i vladine organizacije u SAD, Južnoj Americi, Evropi i Africi su najčešće mete, a GCMAN i Carbanak hakerske grupe su glavni osumnjičeni za ove napade.    

Stručnjaci iz kompanije Kaspersky Lab uočili su niz „nevidljivih“ ciljanih napada koji koriste isključivo legalan softver: alate za penetracione testove i administraciju, kao i PowerShell okvir za automatizaciju zadataka na Windows operativnom sistemu, pri čemu malver fajlovi nisu instalirani na hard disk već se kriju u memoriji. Ovakav kombinovan pristup omogućuje kriminalcima da izbegnu detekciju, zbog čega istražitelji nemaju gotovo nikakvih dokaza na osnovu kojih bi mogli da sprovode istragu. Napadači se zadržavalju tek toliko dugo da dobiju dovoljno informacija, nakon čega brišu svoje tragove prilikom prvog restartovanja sistema.

Krajem 2016. godine, stručnjake iz kompanije Kaspersky Lab kontaktirale su banke koje su u memoriji svojih servera pronašle softver za penetraciono testiranje koji ne bi trebalo da se nalazi tu – Meterpreter. Ovaj softver se danas često koristi u maliciozne svrhe. Stručnjaci iz kompanije Kaspersky Lab otkrili su da je Meterpreter radio u kombinaciji sa brojnim legitimnnim PowerShell skriptama i drugim alatima. Ovako kombinovani alati predstavljali su maliciozni kod koji ima sposobnost da se sakrije u memoriji, i da neprimetno prikuplja lozinke sistemskih administratora kako bi napadačima omogućio da daljinski kontrolišu sistem. Kraljnji cilj bio je prostup finansijskim procesima banaka.

Kompanija Kaspersky Lab je od tog trenutka otkrila da su se ovi napadi odvijali na globalnom nivou, pri čemu je pogođeno više od 140 kompanija širom sveta, a najviše u SAD, Francuskoj, Ekvadoru, Keniji, Velikoj Britaniji i Rusiji.

Geografska rasprostranjenost napada

Infekcije su registrovane u ukupno 40 zemalja.

Nije poznato ko stoji iza ovih napada. Usled korišćenja koda otvorenog izvora, kao i Windows alata i nepoynatih domena, gotovo je nemoguće otkriti koja grupa je odgovorna za napade, pa čak i da li je u pitanju jedna grupa ili više njih. Neke od najpoznatijih hakerskih grupa koje koriste slične pristupe jesu GCMAN i Carbanak.

 

Ovi alati otežavaju proces otkrivanja detalja o samim napadima. Normalna procedura podrazumeva da istražitelji prate tragove koje su napadači ostavili u sistemu. I dok podaci koji se nalaze na hard disku mogu biti vidljivi i godinu dana nakon napada, malver koji se krije u memoriji nestaje nakon prvog sledećeg pokretanja sistema. Srećom, stručnjaci su uspeli da ih uoče na vreme.

Leave a Reply