web bankarstvo
IT

Banke se suočavaju sa novim finansijskim e-pretnjama!

Stručnjaci kompanije Kaspersky Lab identifikovali su nove trikove i pokušaje kopiranja ozloglašene hakerske grupe Carbanak

Godinu dana nakon što su stručnjaci iz kompanije Kaspersky Lab upozoravali na činjenicu da će sajber kriminalci u sve većoj meri koristiti APT napade za pljačkanje banaka, iz kompanije je potvrđeno da je Carbanak grupa ponovo aktivna, pri čemu su otkrivene još dve grupe koje koriste iste tehnike za napad: Metel i GCMAN. Ove grupe napadaju finansijske organizacije pomoću „izviđačkih“ i drugih, specijalno kreiranih, APT malver programa, kao i pomoću legitimnih softvera i inovativnih metoda za krađu novca.

Computer Bug

Stručnjaci iz globalnog tima za istraživanje i analizu kompanije Kaspersky Lab saopštili su ovu vest na Samitu bezbednosnih analitičara (SAS) koji organizuje kompanija Kaspersky Lab, godišnjem događaju koji povezuje anti-malver istraživače i programere, globalne agencije za sprovođenje zakona i članove CERT-a (Computer Emergency Response Team), kao i članove zajednice bezbednosnih istraživača.

Hakerska grupa Metel koristi brojne trikove, ali je naročito zanimljiva zbog upotrebe izuzetno lukave taktike: napadači preuzimaju kontrolu nad uređajima unutar banke koji imaju pristup novčanim transakcijama (npr. kol centar banke/računari koji se koriste kao podrška), i na taj način automatizuju kompromituju transakcije na bankomatima.

Nakon kompromitovanja transakcija na bankomatu, trenutno stanje na debitnim karticama ostaje isto bez obzira na to koliko transakcija napadač izvrši na bankomatu. U situacijama koje su zabeležili nadležni organi, kriminalna grupa u Rusiji krala je novac tako što su se njeni članovi vozili od mesta do mesta, uglavnom u kasnim večernjim satima, i praznile bankomate određenih banaka, konstantno koristeći istu debitnu karticu koju im je izdala kompromitovana banka. Tokom samo jedne noći, kriminalna grupa uspela je da isprazni sve bankomate.

„U današnje vreme, aktivna faza sajber napada postaje sve kraća. Kada se napadači izvešte u određenom poslu, dovoljno im je samo nekoliko dana da ukradu šta žele i krenu u bekstvo”, izjavio je Sergej Golovanov (Sergey Golovanov), jedan od glavnih bezbednosnih istraživača u globalnom timu za istraživanje i analizu u kompaniji Kaspersky Lab.

 

Tokom forenzičke istrage, stručnjaci iz kompanije Kaspersky Lab otkrili su da članovi hakerske grupe Metel sprovode inicijalno inficiranje uređaja pomoću specijalno kreiranih „fišing“ i-mejl poruka koje sadrže maliciozne fajlove, kao i pomoću Niteris alata koji koristi ranjivosti na internet pretraživaču korisnika. Nakon što se inflitriraju na mrežu, sajber kriminalci koriste legitimne alate kako bi se lateralno kretali po mreži, i na taj način preuzimaju kontrolu nad lokalnim kontrolorom domena i dobijaju pristup računarima koje koriste zaposleni zaduženi za rad se platnim karticama.

 

Metel grupa je i dalje aktivna i istraga o njihovim aktivnostima je u toku. Za sada nisu identifikovani napadi van teritorije Rusije. Međutim, postoje indicije da je infekcija ovim virusom rasprostranjenija, i stručnjaci savetuju svim bankama da preventivno proveravaju svoje sisteme.

Sve tri hakerske grupe koriste kombinaciju malver programa i legitimnog softvera u svojim kriminalnim aktivnostima. Razlog za to jeste činjenica da se na ovaj način smanjuje šansa za detekciju, pri čemu efikasnost napada ne gubi na snazi.

Međutim, kada je u pitanju nevidljivost, hakerska grupa GCMAN ide korak dalje: U određenim situacijama, ova grupa može da sprovede napada na organizaciju bez upotrebe ikakvog malvera, već samo pomoću legitimnog softvera. U situacijama koje su zabeležili stručnjaci iz kompanije Kaspersky Lab, hakerska grupa GCMAN koristila je Putty, VNC i Meterpreter alate kako bi se lateralno kretala kroz mrežu, sve do trenutka kada su napadači dobili pristup određenim računarima banke bez aktiviranja ostalih sistema banke.

Tokom jednog napada koji su zabeležili stručnjaci iz Kaspersky Lab-a, sajber kriminalci ostali su na mreži godinu i po dana pre sprovođenja samog napada. Novac je bio brebacivan u iznosima od 200 američkih dolara, što predstavlja gornju granicu za anonimne uplate u Rusiji. Svakog minuta, CRON alat aktivirao je malicioznu skriptu prilikom čega je suma od 200 američkih dolara bila prebačena na elektronski račun koji pripada posredniku. Nalozi o transakcijama su poslati direktno na uzvodnu mrežu plaćanja i nisu se pojavljivali na internim sistamima banke.

Takođe, Carbanak 2.0 predstavlja ponovno pojavljivanje Carbanak napredne uporne pretnje (APT) koja koristi iste alate i tehnike, ali je profil žrtava drugačiji i koriste se inovativni načini za podizanje novca.

Tokom 2015. godine, mete Carbanak 2.0 pretnje nisu bile sam banke, već i finansijski i revizorski sektori brojnih organizacija. Prilikom napada koji su zabeležili stručnjaci iz Kaspersky Lab-a, članovi grupe Carbanak 2.0 uspeli su da dobiju pristup finansijskoj instituciji i izmene dokmunete o vlasničkim pravima u velikoj kompaniji.

„Napadi na finansijske institucije tokom 2015. godine ukazuju na zabrinjavajuć trend da sajber kriminalci u sve većoj meri koriste APT napade. Grupa Carbanak je samo začetnik ovog trenda: sajber kriminalci brzo usvajaju nove tehnike za sprovođenje napada, pri čemu je primetno da sve veći broj njih sada direktno napada banke, a ne krajnje korisnike. Oni se vode logikom da se tu nalazi najveća količina novca“, upozorava Sergej Golovanov (Sergey Golovanov). „Ono što mi želimo da pokažemo jeste na koji način i gde tačno napadači mogu da ukradu vaš novac. Očekujem da će korisnici, nakon informacije o napadima grupe GCMAN, proveriti da li su veb serveri banaka zaštićeni. U slučaju grupe Carbanak, savetujemo korisnicima da zaštite baze podataka koje sadrže informacije o vlasničkim pravima, budući da i ti dokumenti mogu biti meta napada”.

 

Proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju malver programe koje koriste hakerske grupe Carbanak 2.0, Metel i GCMAN. Kompanija takođe objavljuje ključne indikatore o kompromitovanju (IOC), kao i druge podatke koji pomažu organizacijama da uoče tragove ovih grupa u njihovim korporativnim mrežama.

Apelujem na sve organizacije da pažljivo testiraju svoje mreže na prisustvo hakerskih virusa Carbanak, Metel i GCMAN, i da u slučaju detektovanja očiste svoje sisteme i obaveste nadležne organe o upadu na mrežu.

Leave a Reply