Elképesztő módszerrel jutnak pénzhez ezek a kiberbűnözők

A Kaspersky Lab GReAT csapata tette ezt a bejelentést a Kaspersky Security Analyst Summit (SAS) éves rendezvényén, amely találkozóhelye a vírusellenes kutatóknak és fejlesztőknek, a globális bűnüldöző szerveknek és CERT-eknek, valamint a biztonsági kutató közösség tagjainak.

A Metel kiberbűnözői csoportnak rengeteg trükk van a tarsolyában, de különösen érdekessé egy rendkívül okos módszer teszi, amelynek révén ellenőrzést szerez a bankok pénzügyi tranzakciókhoz hozzáférő számítógépei (például a banki call center gépek) felett, így a bűnbanda automatizálhatja az ATM kifizetések visszaállítását.

A visszaállítási képesség biztosítja, hogy a bankkártyák egyenlege ugyanaz marad, függetlenül a végrehajtott ATM tranzakciók számától. Az eddigi tapasztalatok szerint a kiberbűnözői csoport úgy lop pénzt, hogy éjszakánként körbeautózza az orosz városokat, és kiüríti több bank ATM-eit úgy, hogy a lopáshoz mindig ugyanazt, a feltört pénzintézet által kiadott bankkártyát használják. Így egyetlen éjszaka alatt tudnak készpénzhez jutni.

“Manapság a kibertámadások aktív szakasza egyre rövidebb. Amikor a támadók gyakorlottá válnak egy adott műveletben, akkor csupán napokig vagy hetekig tart, hogy megszerezzék, amit akarnak és elmeneküljenek.“ – mondta Sergey Golovanov, a Kaspersky Lab GReAT csapatának vezető kutatója.

A vizsgálat során a Kaspersky Lab szakértői kiderítették, hogy a Metel üzemeltetői a kezdeti fertőzést speciálisan kialakított, rosszindulatú melléklettel ellátott, célzott adathalász e-mailekkel, valamint a Niteris kihasználó csomag segítségével érik el, az utóbbi az áldozat böngészőjének sebezhetőségeit támadja.

Miután behatoltak a hálózatba, a számítógépes bűnözők legális eszközökkel hajtanak végre laterális mozgásokat, eltérítik a helyi domain vezérlőt, és ellenőrzést szereznek a kártyák feldolgozásért felelős banki dolgozók számítógépei felett.

Úgy tűnik, a Metel csoport aktív maradt, ezért a tevékenységével kapcsolatos nyomozás tovább folytatódik. Eddig nem azonosítottak Oroszországon kívüli támadást. Ennek ellenére vannak olyan feltételezések, hogy a fertőzés sokkal elterjedtebb, és a bankoknak világszerte azt tanácsolják, hogy proaktív módon ellenőrizzék az esetleges fertőzést.

Mind a három azonosított banda rosszindulatú programokat és legális szoftvereket egyaránt használ csalásai során: miért írjanak egy rakás kártékony programot, amikor a legális segédprogramok ugyanolyan hatékonyak tudnak lenni, és jóval ritkábban indítanak be riasztást.

De titkosság tekintetében a GCMAN hackerei még tovább mennek: néha sikeres támadást tudnak végrehajtani vállalatok ellen bármiféle rosszindulatú program használata nélkül, csupán törvényes eszközök segítségével. A Kaspersky Lab szakértői által kivizsgált esetekben előfordult olyan GCMAN hacker, aki Putty, VNC és Meterpreter segédprogramokat használt a hálózatban való laterális mozgásra, amíg elért egy olyan számítógépet, amellyel pénzutalást lehetett végrehajtani e-valuta szolgáltatásokra anélkül, hogy más banki rendszereket riasztana.

A Kaspersky Lab által megfigyelt egyik támadásban a kiberbűnözők másfél évig voltak a hálózaton belül, mielőtt véghez vitték a lopást. A pénzt 200 dollár körüli összegekben utalták át, ami a névtelen utalások felső határa Oroszországban. A CRON ütemező minden percben elindított egy rosszindulatú szkriptet, és egy újabb összeg került át egy e-valuta számlára. A tranzakciós megbízásokat közvetlenül a bank upstream fizetési átjárójához küldték és azok sehol sem bukkantak fel a bank belső rendszereiben.

És végül a Carbanak 2.0 a Carbanak APT fenyegetés (fejlett folyamatos fenyegetés) újbóli megjelenését jelzi, ugyanazokkal az eszközökkel és technikákkal, de eltérő áldozati profillal és innovatív kifizetési módszerekkel.

2015-ben a Carbanak 2.0 célpontjai nem csupán bankok voltak, hanem bármely, a hackerek érdeklődésére számot tartó szervezet költségvetési és könyvelési osztálya. A Kaspersky Lab által megfigyelt egyik esetben a Carbanak 2.0 csoport hozzáférést szerzett egy pénzügyi intézmény rendszeréhez, és képes volt megváltoztatni egy nagy cég tulajdonosi adatait. Az információt úgy módosították, hogy egy strómant neveztek meg a társaság egyik részvényesének.

“A pénzügyi szervezetek elleni, 2015-ben feltárt támadások aggasztó tendenciát mutatnak, mivel a kiberbűnözők agresszív átfogó, APT stílusú támadásokat hajtanak végre. A Carbanak banda csak az első volt a sok közül: a kiberbűnözők gyorsan megtanulják, hogyan használják az új technikákat, és egyre gyakrabban látjuk, hogy a felhasználók helyett közvetlenül a bankokat támadják meg. A logikájuk egyszerű: ott van a pénz.” – figyelmeztet a veszélyekre Sergey Golovanov, “Célunk, hogy  megmutassuk, hol és hogyan csaphatnak le a hackerek az önök pénzére. Arra számítok, hogy miután hallanak a GCMAN támadásokról, ellenőrizni fogják, hogyan vannak védve a bankjaik rendszerei, míg a Carbanak esetében azt javasoljuk, hogy a számlatulajdonosok adatait tartalmazó adatbázist védjék meg, ne csak az egyenlegeiket.”

A Kaspersky Lab termékei sikeresen észlelik és blokkolják a Carbanak 2.0, a Metel és a GCMAN által használt rosszindulatú programokat. A cég ugyancsak kiad kulcsfontosságú IOC és más adatokat, hogy segítsen a szervezeteknek ezen támadási csoportok nyomainak a vállalati hálózatban való felkutatásában.

Figyelmeztetünk minden szervezetet, alaposan vizsgálják át hálózatukat a Carbanak, a Metel és a GCMAN jelenléte után, és ha ez kimutatható, jelentsék a behatolást a bűnüldöző szerveknek.