Kaspersky Lab confirma revenirea Carbanak sub denumirea Carbanak 2.0 și demasca alte două grupări care operează în același stil: Metel și GCMAN. Acestea atacă organizații financiare folosesc metode APT (Advanced Persistent Threats) și malware personalizat, împreună cu software legitim și metode inovatoare de a sustrage bani.
Gruparea de infractori cibernetici Metel are numeroase tehnici în repertoriu, dar este interesantă în special pentru o modalitate de operare deosebit de inteligentă: obțin control asupra aparatelor din interiorul unei bănci, care au acces la tranzacțiile cu numerar (de ex. call center-ul băncii, computerele care asigură suport tehnic) și, astfel, gruparea poate realiza automat rollback – întreruperea tranzacțiilor la bancomat și revenirea la stadiul anterior.
Prin rollback, balanța pe cardurile de debit rămâne la fel, indiferent de numărul de tranzacții făcute la bancomat. În exemplele identificate până în prezent, gruparea infracțională fură bani mergând cu mașina prin orașe din Rusia, noaptea, și golind bancomatele de la mai multe bănci, folosind de fiecare dată aceleași carduri de debit emise de banca al cărei sistem a fost afectat. Reușesc astfel să obțină bani pe parcursul unei singure nopți.
“În prezent, faza activă a unui atac cibernetic se scurtează. Atunci când atacatorii se perfecționează într-un anumit mod de operare, le ia doar câteva zile sau o săptămână să obțină ce vor și să fugă”, spune Sergey Golovanov, Principal Security Researcher la Global Research & Analysis Team, Kaspersky Lab.
În timpul investigației, experții Kaspersky Lab au descoperit că membrii Metel reușesc să infecteze inițial un sistem prin email-uri de phishing create special, ce au în attach documente malware, și prin intermediul pachetului de exploit-uri Niteris, care vizează vulnerabilitățile din browser-ul victimei.
Odată pătrunși în rețea, infractorii cibernetici folosesc instrumente legitime și teste de vulnerabilitate (pentesting) pentru a avansa, obținând acces asupra sistemului de control al domeniului local și, în cele din urmă, localizând și obținând control asupra computerelor folosite de angajații băncii responsabili cu procesarea cardurilor.
Grupul Metel este încă activ, iar investigația asupra acțiunilor lor este în derulare. Până acum, nu au fost identificate semne ale unor atacuri realizate în afara Rusiei. Totuși, există motive de suspiciune că acțiunile lor sunt mult mai răspândite, iar băncile din toată lumea sunt sfătuite să verifice dacă nu cumva au fost infectate.
Toate cele trei grupări identificate își schimbă metodele de acțiune, recurgând la programe malware și software legitim în operațiunile lor frauduloase. Filosofia lor e simplă: de ce să scrii o mulțime de instrumente malware personalizate, atunci când metodele legitime pot fi la fel de eficiente și, în plus, declanșează mult mai puține semnale de alarmă.
Dar ca abilități de a se ascunde, gruparea GCMAN merge și mai departe: uneori poate ataca cu succes o organizație fără să folosească malware, doar cu instrumente legitime și de testare a vulnerabilităților. În cazurile identificate de experții Kaspersky Lab, aceștia au văzut gruparea deplasându-se în interiorul rețelei, până când atacatorii au găsit un aparat ce putea fi folosit pentru a transfera bani către serviciile de monedă electronică, fără să alerteze alte sisteme bancare.
Într-unul dintre atacuri, infractorii cibernetici au rămas conectați la rețea timp de un an și jumătate, înainte de a declanșa furtul. Banii au fost transferați în sume de aproximativ 200 de dolari, limita superioară de plăți care pot fi efectuate anonim în Rusia. La fiecare minut, organizatorul Cron declanșa un script malware și o altă sumă era transferată în conturi de monedă electronică aparținând unui intermediar. Ordinele de plată erau trimise direct, fără să apară nicăieri în sistemele interne ale băncii.
În fine, Carbanak 2.0 marchează revenirea grupării APT Carbanak, cu aceleași instrumente și tehnici, dar un profil diferit al victimelor și modalități inovatoare de a obține bani. În 2015, țintele vizate de Carbanak 2.0 nu au fost doar băncile, ci și departamentele de buget și contabilitate din orice organizație de interes. Într-unul dintre exemplele studiate de Kaspersky Lab, banda Carbanak 2.0 a pătruns într-o instituție financiară și a reușit să modifice credențialele deținute de o mare companie. Informațiile au fost modificate astfel încât să se refere la un intermediar al lor drept un acționar al companiei, afișându-i ID-ul.
“Atacurile asupra instituțiilor financiare descoperite în 2015 indică o tendință îngrijorătoare a infractorilor cibernetici de a adopta stilul atacurilor de tip APT. Banda Carbanak a fost doar prima dintre multe: infractorii învață repede acum cum să folosească noi tehnici în activitatea lor, și vedem cum multe dintre ele nu mai atacă utilizatorii, ci direct băncile. Logica lor e simplă: acolo sunt banii”, avertizează Serghey Golovanov.
“Noi vrem să arătăm cum și unde, mai exact, ar putea lovi acești actori ai amenințărilor pentru a lua banii. Mă aștept ca după ce ați auzit de atacurile GCMAN, să verificați cum vă sunt protejate serverele de internet banking. În același timp, în cazul Carbanak recomandăm protejarea bazelor de date care conțin informații despre titularii de cont, nu doar extrasele lor de cont.”
Produsele Kaspersky Lab detectează cu succes și blochează programele malware folosite de grupările Carbanak 2.0, Metel și GCMAN. Compania oferă, de asemenea, indicatori cruciali despre compromiterea sistemului (IOC – Indicators of Compromise) și alte date pentru a ajuta organizațiile să caute urme ale acestor grupări de atac în rețelele companiei.
Sursa: Kaspersky Lab
Banking 4.0 – „how was the experience for you”
„So many people are coming here to Bucharest, people that I see and interact on linkedin and now I get the change to meet them in person. It was like being to the Football World Cup but this was the World Cup on linkedin in payments and open banking.”
Many more interesting quotes in the video below: