Nagyban játszik a Carbanak APT
A Kaspersky Lab, az Interpol és az Europol munkatársai közös akció keretében derítettek fényt az utóbbi idők egyik legnagyobb hacker támadására.A Carbanak elnevezésű, APT-alapú (Advanced Persistent Threats) támadássrozat során egy multinacionális hacker csapat, nagyon kifinomult módszerekkel körülbelül 1 milliárd dollárt lopott el közel 30 országban, több mint 100 különböző pénzintézettől. Az érintett országok között van többek között az Amerikai Egyesült Államok, Oroszország, Németország és Kína.
A fertőzésért felelős, szintén Carbanak néven azonosított backdoort kémkedésre, adat lopásra és távoli hozzáférés biztosítására fejlesztették ki. Első variánsát 2013 augusztusában vetették be, azonban az első detektálásra csak 2013-as év végén került sor. A kártékony programot tehát a támadássorozat megkezdésének elején ismerték már, azonban a nyomozás érdekeire hivatkozva nem hozták nyilvánosságra azt.
Ahogy az APT támadásokra jellemző, a Carbanak is viszonylag sokáig volt képes észrevétlen maradni, átlagosan 2-4 hónapig rejtőzött a megtámadott bankok rendszereiben.
Fontos kiemelni, hogy az APT-ket eddig kifejezetten kémkedésre, adatlopásra használták fel, azonban a Carbanakkal egy olyan támadásnak lehettünk tanúi, amelynél immár konkrétan a pénzszerzés állt a célpontban.
A fertőzés útja
A támadás banki alkalmzottaknak küldött célzott adathalász emialeken keresztül indult el, melyek formailag hagyományos banki leveleknek tűntek. A levelek egy Microsoft Word 97 - 2003 .doc, vagy .cpl kiterjesztésű állományt tartalmaztak, amelyek megnyitásuk esetén képesek voltak kihasználni a Microsoft Office programcsomag – már ismert - biztonsági réseit. Ezt követően került fel a Carbanak a rendszerre. A fertőzés csak akkor történt meg, ha a számítógépen a Microsoft Office nem volt frissítve.
A Carbanak egy hátsó kaput “nyitott” a számítógépeken, melyen keresztül lehetőségük nyílt a támadóknak a belső hálózatok feltérképezésére, kritikus pénzügyi rendszerekhez hozzáférő, más számítógépek megfertőzésére. Olyan szoftverek is telepítésre kerültek, amelyek távoli hozzáférést biztosítottak, valamint az áldozat képernyőjén történt aktivitásokat is megfigyelte. A támadók a megfigyelés során videóállományokat is létre tudtak hozni, melyeket elküldtek a távoli szervereikre. Ez segítette az alkalmazottak viselkedésének felderítését és a munkafolyamatok megismerését.
A milliárdos bűncselekmény módszertana
A nemzetközi hackercsoport az alábbi módszerekkel lopta el a pénzt a pénzintézetektől:
- A támadók online banki rendszereken és a nemzetközi e-payment megoldásokon keresztül utaltak át különböző összegeket a saját számláikra. Bizonyos esetekben átmenetileg kínai és amerikai bankokban tartották a pénzeket.
- A másik esetben a támadók mélyebben beásták magukat a rendszerbe, lehetőséget biztosítva arra, hogy az ügyfelek bankszámláján megváltoztassák a számlaegyenleget (pl. 1000$-ról 10000$-ra). A különbséget (9000$) pedig átutalták a saját számláikra, így észrevétlenek tudtak maradni, mivel az ügyfél bankszámlája változatlan maradt.
- Átvették az irányítást bizonyos ATM automaták felett és úgy programozták távolról, hogy előre meghatározott időben pénzt adjon ki. A hackercsoport egyik tagja pedig a megadott időpontban az ATM automatából elhozta a kiadott pénzt.
A hacker csoport még most aktív, ezért a pénzügyi szervezeteknek továbbra is körültekintően kell átvizsgálniuk a hálózatukat és gondoskodni az APT támadások elleni védelemről.
Carbanak azonosítása
A Carbanak azonosítására az alábbi lehetőségek vannak:
- ..\All users\%AppData%\Mozilla\ mappában a Carbanak létrehoz .bin kiterjesztésű állományokat.
- A Kaspersky által kiadott elemzés Appendix 2: BAT file to detect infection fejezete tartalmazza egy szkript forráskódját, melyet lefuttatva azonosítja a Carbanakot, amennyiben a gépen van.
Ajánlott intézkedések a támadások elkerülésére
- Szoftverek naprakészen tartása.
- Biztonsági rendszerek naprakészen tartása.
- Felhasználók értesítése a gyanús levelek veszélyeiről.
- APT támadások elkerülésére alkalmas IT biztonsági eszközök használata.
Az Intel Security (McAfee) pedig nagyvállalatok és állami intézmények számára kínál megoldást az APT-k és nulladik napos támadások ellen. A McAfee Advanced Threat Defense egy központilag telepített és működtetett rendszer, mely a hálózatban előforduló konfigurációkat emulálva, sandboxban vizsgálja meg a gyanús állományokat és állítja meg azokat.
A Carbanak támadással kapcsolatban bővebb információkat itt talál.
További információkért keresse szakmai minősítéssel rendelkező kollégáinkat az ugyfelszolgalat.piksys@piksys.hu email címen
Az oldalt partnerünk szerkeszti, annak tartalmáért felelősséget nem vállalunk!