Egy kibernyomozás tanulságos története

A Kaspersky Lab szakemberei egy biztonsági incidens leleplezését ismertették. A történet sok tanulsággal szolgál.
 

Az egyik orosz vállalat megkérte a Kaspersky Lab szakembereit egy biztonsági incidens kivizsgálására, melynek során a csalók több mint 130.000 dollárt kíséreltek meg ellopni a cég bankszámlájáról. A vállalat vezetői rosszindulatú programot sejtettek a történtek hátterében. A gyanújuk hamar beigazolódott.
 
A pénzügyekre szakosodott vállalat bankja blokkolta a megkísérelt 130.000 dolláros tranzakciót. Azonban a hackerek sikeresen végrehajtottak egy 8.000 dolláros fizetést, mivel az összeg túlságosan kicsi volt ahhoz, hogy riassza a bankot, és nem igényelt további jóváhagyást sem.
 
A Kaspersky Lab Global Emergency Response Team (GERT) szakértői megkapták a megtámadott számítógép merevlemezéről készült képállományt. Ennek tanulmányozása során igen hamar felfedezték a gyanús e-mailt, amelyet az orosz adóhivatal nevében küldtek a csalók, arra kérve a céget, hogy sürgősen mutasson be pár dokumentumot. Ezek listáját egy mellékelt Word dokumentumba illesztették be, amely azonban tartalmazott egy sérülékenység (CVE-2012-0158) kihasználására alkalmas kártékony kódot is. Ez a dokumentum megnyitásakor aktivizálódott, és további kártékony programok letöltődéséhez járult hozzá.
 
Károkozó károkozó hátán

A szakértők a fertőzött számítógép merevlemezén megtaláltak egy távoli hozzáféréshez kifejlesztett, manipulált programot, és egy hátsó kapu létesítésére alkalmas kártevőt. A kiberbűnözők ezt a fertőzött géppel való távoli (VNC) hozzáférés létesítésére használták. Mindemellett a kompromittált PC-n a hírhedt Carberp banki trójai is szorgosan tevékenykedett. Ezek a programok ugyan már lehetőséget adtak a tranzakciók lebonyolítására, de a csalók még nem tudtak bejelentkezni a bank online rendszerébe. Ezért egy Delf nevű trójai segítségével folyamatosan figyelték a billentyűleütéseket, és az így szerzett hitelesítő adatokkal már szabaddá vált előttük az út.
 
Nemcsak egy áldozat volt

Ahogy a vizsgálat a befejezéséhez közeledett, a szakértők újabb érdekességet fedeztek fel: a támadásban résztvevő rosszindulatú programokat vezérlőszerverekről irányították. Azonban a kiberbűnözők elkövettek egy hibát, amely lehetővé tette további fertőzött számítógépek IP-címének lekérdezését. Bebizonyosodott, hogy ezeknek a gépeknek a többsége kis- és középvállalkozások tulajdonában van, amelyeket a Kaspersky Lab azonnal figyelmeztetett.
 
Ez mindenhol megtörténhet
 
"Habár az incidens Oroszországban történt, technikai szempontból nem nevezhető ország specifikusnak. Világszerte a legtöbb vállalat a Windows és az Office különféle változatait használja, amelyek kijavítatlan sérülékenységeket tartalmazhatnak. Ugyancsak kevéssé különböznek egymástól az egyes országokban azok a módszerek, amelyekkel a vállalatok pénzügyi osztályai kapcsolódnak a banki szolgáltatásokhoz. Ez megkönnyíti a kiberbűnözők helyzetét, akik távoli bankolást lehetővé tevő rendszerek révén próbálnak meg pénzt lopni" - mondta Mikhail Prokhorenko, a Kaspersky Lab Global Emergency Response Team malware elemzője.
 
Annak érdekében, hogy a cégek csökkentsék a bankszámlákról történő pénzlopás kockázatát, a Kaspersky Lab szakértői azt tanácsolták, hogy használjanak megbízható, többfaktoros hitelesítést. A vállalati számítógépekre telepített szoftvereket rendszeresen frissítsék, és védjék a PC-ket korszerű biztonsági megoldásokkal. Emellett fontos az alkalmazottak képzése, hogy minél előbb felismerjék a támadások jeleit, és ezekre megfelelően reagáljanak.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség