Nagyban játszik a Carbanak APT

A Kaspersky Lab, az Interpol és az Europol munkatársai közös akció keretében derítettek fényt az utóbbi idők egyik legnagyobb hacker támadására.

A Carbanak elnevezésű, APT-alapú (Advanced Persistent Threats) támadássrozat során egy multinacionális hacker csapat, nagyon kifinomult módszerekkel körülbelül 1 milliárd dollárt lopott el közel 30 országban, több mint 100 különböző pénzintézettől. Az érintett országok között van többek között az Amerikai Egyesült Államok, Oroszország, Németország és Kína.

A fertőzésért felelős, szintén Carbanak néven azonosított backdoort kémkedésre, adat lopásra és távoli hozzáférés biztosítására fejlesztették ki. Első variánsát 2013 augusztusában vetették be, azonban az első detektálásra csak 2013-as év végén került sor. A kártékony programot tehát a támadássorozat megkezdésének elején ismerték már, azonban a nyomozás érdekeire hivatkozva nem hozták nyilvánosságra azt.

Ahogy az APT támadásokra jellemző, a Carbanak is viszonylag sokáig volt képes észrevétlen maradni, átlagosan 2-4 hónapig rejtőzött a megtámadott bankok rendszereiben.
Fontos kiemelni, hogy az APT-ket eddig kifejezetten kémkedésre, adatlopásra használták fel, azonban a Carbanakkal egy olyan támadásnak lehettünk tanúi, amelynél immár konkrétan a pénzszerzés állt a célpontban.
 
A fertőzés útja
A támadás banki alkalmzottaknak küldött célzott adathalász emialeken keresztül indult el, melyek formailag hagyományos banki leveleknek tűntek. A levelek egy Microsoft Word 97 - 2003 .doc, vagy .cpl kiterjesztésű állományt tartalmaztak, amelyek megnyitásuk esetén képesek voltak kihasználni a Microsoft Office programcsomag – már ismert - biztonsági réseit. Ezt követően került fel a Carbanak a rendszerre. A fertőzés csak akkor történt meg, ha a számítógépen a Microsoft Office nem volt frissítve.
A Carbanak egy hátsó kaput “nyitott” a számítógépeken, melyen keresztül lehetőségük nyílt a támadóknak a belső hálózatok feltérképezésére, kritikus pénzügyi rendszerekhez hozzáférő, más számítógépek megfertőzésére. Olyan szoftverek is telepítésre kerültek, amelyek távoli hozzáférést biztosítottak, valamint az áldozat képernyőjén történt aktivitásokat is megfigyelte. A támadók a megfigyelés során videóállományokat is létre tudtak hozni, melyeket elküldtek a távoli szervereikre. Ez segítette az alkalmazottak viselkedésének felderítését és a munkafolyamatok megismerését.
 
A milliárdos bűncselekmény módszertana
A nemzetközi hackercsoport az alábbi módszerekkel lopta el a pénzt a pénzintézetektől:

1. A támadók online banki rendszereken és a nemzetközi e-payment megoldásokon keresztül utaltak át különböző összegeket a saját számláikra. Bizonyos esetekben átmenetileg kínai és amerikai bankokban tartották a pénzeket.
2. A másik esetben a támadók mélyebben beásták magukat a rendszerbe, lehetőséget biztosítva arra, hogy az ügyfelek bankszámláján megváltoztassák a számlaegyenleget (pl. 1000$-ról 10000$-ra). A különbséget (9000$) pedig átutalták a saját számláikra, így észrevétlenek tudtak maradni, mivel az ügyfél bankszámlája változatlan maradt.
3. Átvették az irányítást bizonyos ATM automaták felett és úgy programozták távolról, hogy előre meghatározott időben pénzt adjon ki. A hackercsoport egyik tagja pedig a megadott időpontban az ATM automatából elhozta a kiadott pénzt.

Hogyan kerüljük el az APT támadásokat?
A hacker csoport még most aktív, ezért a pénzügyi szervezeteknek továbbra is körültekintően kell átvizsgálniuk a hálózatukat és gondoskodni az APT támadások elleni védelemről.

Carbanak azonosítása
A Carbanak azonosítására az alábbi lehetőségek vannak:

• ..\All users\%AppData%\Mozilla\ mappában a Carbanak létrehoz .bin kiterjesztésű állományokat.
• A Kaspersky által kiadott elemzés Appendix 2: BAT file to detect infection fejezete tartalmazza egy szkript forráskódját, melyet lefuttatva azonosítja a Carbanakot, amennyiben a gépen van.

Ismételt említést érdemel, hogy semmilyen jel nem utal arra, hogy a Carbanak bármilyen, eddig ismeretlen sérülékenységet használt volna ki. Olyan gépek válhattak a támadás áldozatává, amelyeken nem voltak telepítve a legújabb biztonsági frissítések.

Ajánlott intézkedések a támadások elkerülésére

• Szoftverek naprakészen tartása.
• Biztonsági rendszerek naprakészen tartása.
• Felhasználók értesítése a gyanús levelek veszélyeiről.
• APT támadások elkerülésére alkalmas IT biztonsági eszközök használata.

A WatchGuard kis- és középvállalatok számára kínálja tűzfal eszközei mellé az APT Blockert. A szolgáltatás a gyanús fájlokat felküldi egy felhő-alapú sandboxba, ahol számos virtuális környezetben (emulált rendszerkörnyezetekben) futtatja és elemzi azokat.

Az Intel Security (McAfee) pedig nagyvállalatok és állami intézmények számára kínál megoldást az APT-k és nulladik napos támadások ellen. A McAfee Advanced Threat Defense egy központilag telepített és működtetett rendszer, mely a hálózatban előforduló konfigurációkat emulálva, sandboxban vizsgálja meg a gyanús állományokat és állítja meg azokat.

A Carbanak támadással kapcsolatban bővebb információkat itt talál.

További információkért keresse szakmai minősítéssel rendelkező kollégáinkat az ugyfelszolgalat.piksys@piksys.hu email címen