נחשפו תרגילים חדשים וחקיינים של Carbanak - קבוצת שודדי הבנקים הנודעת
מאת: מערכת Telecom News, 10.2.16, 14:19
Carbanak חזר כ-Carbanak 2.0 ונחשפו גם 2 כנופיות נוספות של עברייני סייבר הפועלות בסגנון דומה: Metel ו-GCMAN. יש תנועה מתקיפת משתמשים לתקיפה ישירה של בנקים.
שנה לאחר שמעבדת קספרסקי התריעה, שעברייני סייבר מתחילים לאמץ כלים ושיטות של מתקפות ריגול מגובות מדינה כדי לשדוד בנקים, היא מאשרת את חזרתו של
Carbanak, המוגדר הפעם כ-
Carbanak 2.0 וחושפת 2 קבוצות נוספות הפועלות בסגנון דומה:
Metel ו-
GCMAN. הקבוצות תוקפות ארגונים פיננסים באמצעות פעילות מודיעין סמויה, בסגנון מתקפות ריגול (
APT) וקוד זדוני מותאם, יחד עם תוכנה לגיטימית ושיטות חדשניות לחילוץ הכסף.
קבוצת עברייני הסייבר
Metel מחזיקה בתרגילים רבים בספר התרגילים שלה, אבל היא מעניינת במיוחד בגלל שיטת עבודה חכמה במיוחד: באמצעות השגת שליטה על מכונות בבנק שיש להן גישה לפעולות כספיות (כגון מרכז שירות / מחשבי תמיכה), הכנופיה יכולה לבצע רול-בק אוטומטי (גלגול לאחור) של פעולות בכספומט.
יכולת הרול-בק מבטיחה כי המאזן בכרטיסי חיוב נותר זהה, ללא קשר למספר עסקאות הכספומט שבוצעו. במקרים, שנצפו עד היום, קבוצת העבריינים גונבת כסף תוך נסיעה בערים ברוסיה במהלך הלילה וריקון של מכשירי כספומט השייכים למספר בנקים - באופן חוזר באמצעות אותם כרטיסי חיוב שהונפקו ע"י הבנק שנפגע. כך, שבמהלך לילה אחד בלבד הם מצליחים להשלים גניבות כספים עצומות.
במהלך החקירה נחשף, שמפעילי
Metel משיגים את ההדבקה הראשונית באמצעות הודעות דוא"ל של פישינג ממוקד עם קבצים זדוניים מצורפים ובאמצעות חבילת הפריצה
Niteris הם מנצלים פרצות בדפדפן הקורבן. ברגע שהם בתוך הרשת, עברייני הסייבר משתמשים בכלי בדיקות פריצה (
Pentest) לגיטימיים כדי לבצע תנועה רוחבית במערכת, כשהם מפצחים את בקר הדומיין המקומי, ובסופו של דבר מאתרים ומשיגים שליטה על מחשבים המשמשים את עובדי הבנק האחראים לעיבוד כרטיסי חיוב.
קבוצת
Metel עודנה פעילה והחקירה לגבי פעילותה עדיין נמשכת. עד עתה לא זוהתה אף התקפה מחוץ לרוסיה, ועדיין, ישנו חשד מבוסס, שההדבקה היא רחבה בהרבה, ומומלץ לבנקים ברחבי העולם לבדוק באופן אקטיבי את הנושא.
כל 3 הכנופיות שזוהו עוברות לשימוש בקוד זדוני בליווי תוכנה לגיטימית: מדוע לכתוב ולפתח כלים עצמאיים רבים, כאשר כלים לגיטימיים יכולים להיות יעילים באותה מידה ולהפעיל הרבה פחות אזעקות?
במונחי חמקנות, קבוצת
GCMAN עולה על האחרות: לעיתים היא יכולה לתקוף ארגון בהצלחה מבלי להשתמש כלל בקוד זדוני באמצעות הרצה של כלי בדיקת חדירה לגיטימיים בלבד. במקרים שנחקרו נראה, ש-
GCMAN השתמשו ב-
Putty,
VNC ו-
Meterpreter כדי להתקדם לרוחב הרשת עד שהגיעו למכונה היכולה לשמש להעברת כסף לשירותי מטבע אלקטרוניים מבלי להדליק התרעה במערכות של בנקים אחרים.
בהתקפה אחת, שזוהתה ע"י החברה, עברייני הסייבר שהו ברשת במשך שנה וחצי עד שהפעילו את הגניבה. הכסף הועבר בסכומים של כ-200 דולרים, הגבול העליון להעברת כספים אנונימית ברוסיה. בכל דקה, תזמון
CRON הפעיל קוד זדוני וסכום נוסף הועבר לחשבונות מטבע אלקטרוניים השייכים ל"בלדר כסף".
פקודות ההעברה נשלחו ישירות לשער גישה ולא הוצגו באף מערכת פנימית של הבנק.
ואחרון,
Carbanak 2.0, מסמן את חזרתו של איום הריגול
Carabank, עם אותם כלים וטכניקות אבל עם פרופיל קורבן שונה ודרכים חדשניות לחילוץ הכסף. ב- 2015, המטרות של
Carbanak 2.0 לא היו בנקים בלבד, אלא מחלקות תקציב וחשבונות בכל ארגון בעל עניין. במקרה אחד שנסקר, קבוצת
Carbanak 2.0 קיבלה גישה לארגון פיננסי ומשם המשיכה כדי לשנות את הרשאות הבעלות עבור חברה גדולה. המידע שונה כדי ש"בלדר הכסף" יירשם כבעל מניות של החברה תוך הצגת נתוני הזיהוי שלו.
מומלץ לכל הארגונים לסרוק בזהירות את הרשת שלהם אחר נוכחות של
Carbanak, Metel ו-
GCMAN. אם התרחש זיהוי, יש לנקות את המערכות ולדווח על החדירה לרשויות אכיפת החוק.
מידע נוסף.
סרגיי גולבאנוב, חוקר אבטחה ראשי בצוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי: "השלב הפעיל במתקפת סייבר הופך כיום לקצר יותר. כאשר תוקפים הופכים למיומנים בפעולה מסוימת, לוקח להם מספר ימים או שבוע בלבד לקחת את מה שהם רוצים ולברוח.
התקפות של גופים פיננסים שנחשפו ב-2015 מצביעות על מגמה מדאיגה במסגרתה עברייני סייבר מאמצים מתקפות בסגנון ריגול.
כנופיית
Carbanak הייתה רק הסנונית הראשונה: עברייני סייבר לומדים כעת במהירות כיצד להשתמש בטכניקות חדשות בפעילות שלהם, ואנו רואים רבים יותר נעים מתקיפת משתמשים לתקיפה ישירה של בנקים. ההיגיון שלהם פשוט: שם נמצא הכסף.
אנו מתכוונים להציג כיצד והיכן גורמי האיום עלולים לפגוע כדי לקחת את הכסף שלך. אני מצפה. שלאחר ששמעת על התקפות
GCMAN, תלך ותבדוק כיצד שרתי הבנק המקוון שלך מוגנים. כחלק מחקירת
Carbanak, אנו ממליצים להגן על בסיס הנתונים המכיל מידע לגבי הבעלים של החשבונות, ולא רק על המאזן שלהם".