Banky v ohrození. Carbanak opäť útočí.
Pred rokom analytici Kaspersky Lab varovali, že kybernetickí zločinci začnú používať nástroje a taktiky „štátnych“ APT hrozieb k vykrádaniu bánk a finančných inštitúcií. Teraz spoločnosť potvrdila znovuobjavenie Carbanaku a rovnako odhalila dve ďalšie skupiny fungujúce na rovnakom princípe – Meter a GCMAN (tie stoja napr. aj za nedávno medializovanými útokmi na ruské finančné inštitúcie, kedy spôsobili vychýlenie kurzu rubla).
Skupina Carbanak sa opäť objavila na kybernetickej scéne. Analytici Kaspersky Lab identifikovali jej novú verziu Carbanak 2.0 a tiež ďalšie dve skupiny – Metel a GCMAN, ktoré fungujú v podobný, štýlom. Tým GReAT Kaspersky Lab (Global Research and Analysis Team) zverejnil tieto informácie na každoročnom summite Kaspersky Security Analyst Summit (SAS).
Pred rokom analytici Kaspersky Lab varovali, že kybernetickí zločinci začnú používať nástroje a taktiky „štátnych“ APT hrozieb k vykrádaniu bánk. Aktuálne spoločnosť potvrdila znovuobjavenie Carbanaku a tiež odhalila ďalšie dve skupiny, Metel a GCMAN. Tie útočia na finančné inštitúcie tak, že realizujú prieskum prostredníctvom skrytých APT hrozieb a k tomu prispôsobenému malwaru spolu s legitímnym softwarom. Zároveň využívajú nové a inovatívne cesty, ako peniaze získať.
Skupina Metel je obzvlášť zaujímavá svojou chytrou stratégiou. Aktéri sú schopní získať kontrolu nad zariadeniami vnútri banky, ktoré majú prístup k peňažným transakciám (call centrum či podporné počítače) a následne zautomatizovať odvolanie transakcií v bankomatoch. Tým zabezpečia, že sa zostatok na debetných kartách nezmení, a to bez ohľadu na počet zrealizovaných transakcií. V doteraz sledovaných prípadoch kradla skupina peniaze tak, že v noci obchádzala ruské mestá a vyberala peniaze z bankomatov patriacich niekoľkým bankám. Opakovane tak používala rovnaké debetné karty vydané napadnutými bankami.
„Aktívna fáza kybernetických útokov je dnes čím ďalej kratšia. Pokiaľ sú útočníci zruční, zaberie im len pár dní či týždňov získať to, čo chcú a utiecť,“ hovorí Sergey Golovanov, hlavný bezpečnostný analytik týmu GReAT Kaspersky Lab.
V priebehu vyšetrovania analytici Kaspersky Lab zistili, že aktéri skupiny Metel dosiahli počiatočnú infekciu prostredníctvom špeciálne vytvorených cielených phishingových e-mailov. Tie obsahovali škodlivú prílohu cielenú cez exploit pack Niteris na slabé miesta v prehliadačoch obetí. Akonáhle sa kybernetickí zločinci dostali do siete, použili legitímne nástroje a penetračné testovanie a získali miestne radiče domén. Neskôr vďaka tomu lokalizovali a prevzali kontrolu nad počítačmi zamestnancov bánk, ktorí boli zodpovední za spracovávanie platobných kariet. Skupina Metel je stále aktívna a jej vyšetrovanie naďalej pokračuje. Zatiaľ neboli zistené žiadne útoky mimo územia Ruska. Napriek tomu existuje podozrenie, že sa infekcia rozšírila a analytici preto radšej bankám po celom svete odporúčajú dôkladne skontrolovať ich systémy.
Všetky tri identifikované skupiny začínajú počas svojich operácií využívať malware spolu s legitímnym softwarom. Ten môže byť rovnako efektívny a pritom dokáže spustiť oveľa menej alarmu. Nie je teda nutné vytvárať veľké množstvo „na mieru“ prispôsobeného malwaru.
Aktéri GCMAN zašli vo svojom utajení ešte ďalej. V niektorých prípadoch dokonca zvládli úspešne napadnúť organizáciu bez použitia malwaru, len so spustením legitímnych nástrojov a penetračného testovania. Analytici Kaspersky Lab zistili, že GCMAN používa k pohybu po sieti PuTTY, VNC a Meterpreter nástroje, a to tak dlho, pokým útočníci nedosiahnu na zariadení použiteľnosť na prevod peňazí do e-meny bez varovania ďalších bankových systémov. Pri jednom útoku tak boli kybernetickí zločinci v sieti jeden a pol roka, kým sa im podarilo samotnú krádež spustiť. Peniaze potom prevádzali v sumách okolo 200 dolárov, teda na hornej hranici anonymných platieb v Rusku. Každú minútu plánovač úloh CRON spustil škodlivý skript a ďalšia suma bola prevedená na účty podvodníkov v e-menách. Transakčné príkazy boli posielané priamo bankovou platobnou bránou a neukazovali sa tak nikde v interných systémoch banky.
Carbanak 2.0 je pretrvávajúcou pokročilou hrozbou využívajúcou rovnaké nástroje a techniky ako jej predchodca. Odlišuje sa ale inými profilmi obetí a inovatívnymi cestami, ako získať peniaze. V minulom roku preto neboli terčom Carbanaku 2.0 len banky, ale aj rozpočtové a účtovné oddelenia rôznych spoločností. V jednom prípade tak skupina napadla finančnú inštitúciu a zmenila vlastnícke údaje v inej veľkej firme. Podvodníci boli uvedení ako akcionári spoločnosti a informácie zobrazovali ich identifikačné údaje.
„Útoky na finančné inštitúcie v roku 2015 naznačujú znepokojivý trend, kedy kybernetickí zločinci pomerne agresívne využívajú útoky v APT štýle. Skupina Carbanak je len prvou z mnohých. Útočníci sa rýchlo učia, ako využívať nové techniky a Kaspersky Lab zaznamenala, že sa mnoho z nich aktuálne zameriava na napádanie bánk namiesto jednotlivých užívateľov. Je to logické, idú priamo na miesto, kde sú peniaze,“ varuje Sergey Golovanov. „Naším cieľom je ukázať, ako a obzvlášť kde môžu útočníci udrieť. Po útokoch skupiny GCMAN je isté, že je potrebné skontrolovať zabezpečenie bankových serverov. V prípade Carbanaku potom zabezpečiť databázy obsahujúce informácie o vlastníkoch účtov, niekedy len ich zostatky.“
Produkty Kaspersky Lab úspešne detekujú a blokujú malware používaný skupinami Carbanak 2.0, Metel a GCMAN. Spoločnosť Kaspersky Lab tiež vydala kľúčové IOC indikátory (Indicators of Compromise) a ďalšie dáta k tomu, aby pomohla organizáciám hľadať stopy týchto útokov v ich podnikovej sieti. Viac informácií.
Analytici Kaspersky Lab apelujú na všetky organizácie, aby dôkladne skontrolovali svoje podnikové siete na prítomnosť infekcie a v prípade detekcie systémy vyčistili a nahlásili vniknutie príslušným orgánom.
Zdroj tlačovej správy: Kaspersky Lab, Grayling
