Szerző: Voith Hunor

2015. február 16. 13:15

Carbanak: egymilliárd dollárt is veszíthettek a bankok

Akár egymilliárd dollárt is ellophatott az a 2013 óta tevékenykedő, kifinomult módszereket alkalmazó és nagyon türelmes bűnözői csoport, amit a Kaspersky Lab az Interpollal és az Europollal együttműködve derített fel. A Carbanak az eddigi információk szerint mintegy 100 bankot célzott világszerte, egy támadás átlagosan 2-4 hónap alatt zajlott le.

Máris minden idők legnagyobb bankrablásaként emlegetik azt a Kaspersky Lab, Interpol és Europol által felderített támadássorozatot, melynek során a becslések szerint akár egymilliárd dollárt is ellophattak eddig mintegy száz érintett banktól világszerte. A művelet során több jól bevált módszert gyúrtak egybe, és már a történet elején levonhatjuk a milliárd dolláros tanulságot: a csatolmányok megfelelő kezelése vállalati környezetben még mindig kritikus probléma.

A jó öreg spear phishinggel kezdődött ez is

A Kaspersky vizsgálata szerint a támadásokat nagyrészt kelet-európából (többségében Oroszországból és Ukrajnából) és Kínából indították, az ilyen műveletekben már bizonyítottan hasznos spear phising módszerrel. Ha sikerült rávenni a megcélzott pénzügyi intézmények egyik alkalmazottját a nekik küldött levél csatolmányának megnyitására (ami általában valamilyen Word dokumentum vagy .cpl fájl volt), a Carbanak települt az áldozat gépére. Ezt követően a támadók a malware lehetőségeit kihasználva szabad bejárást kaptak a kompromittált rendszerbe, és az elsődlegesen bejuttatott malware-en felül további, rendszerspecifikus eszközöket is bevetettek.

Ott leszel?

Janklovics Péter stand-upol a SYSADMINDAY-en!

Ott leszel? Janklovics Péter stand-upol a SYSADMINDAY-en!

Ezekkel jellemzően a hálózatot térképezték fel, adminisztrátorok gépei után kutatva, melyekre megfigyelő programot telepítettek. A képernyőn történeket aztán akár hetekig vagy hónapokig figyelték a háttérből, hogy teljes képet kapjanak az alkalmazott tevékenységéről, munkavégzési szokásairól, viselkedési mintájáról, hozzáférési jogosultságairól.

A biztonsági cég tájékoztatása szerint fertőzésre utalhat, ha .bin kiterjesztésű fájlok vannak az All users / %Appdata% / Mozilla vagy a ProgramData / Mozilla könyvtárakban, továbbá egy svchost.exe állomány a Windows / System32 / com (vagy Syswow64 / com) könyvtárban, és a futó Windows szolgáltatások között duplikáció lép fel (ahol a bűnös szolgáltatást a -sys utótagról lehet megismerni). A Carbanak jelenlétére utalhat az is, ha a Windows könyvtárban van egy távoli alkalmazásfuttatásra parancssoros lehetőséget kínáló paexec fájl.

A türelem milliókat terem

A bűnözők a fertőzést és a szükséges információk megszerzését követően több módszerrel loptak pénzt a bankoktól. Volt, hogy egyszerűen saját számláikra utaltak bizonyos összegeket standard bankközi folyamatokat vagy elektronikus fizetési megoldásokat használva. A Kaspersky szerint az utóbbi esetekben amerikai és kínai pénzintézetek szolgáltak átmeneti tárolóként.

Amikor hozzáférést tudtak szerezni az intézmények könyvviteli rendszeréhez, esetenként egyszerűen csak átírták a számlaegyenlegeket (például 1000 dollárt 10 000-re), majd az így “létrehozott” plusz pénzt átutalták maguknak. Az ilyen típusú átverés észrevételének viszonylag hosszú az átfutási ideje ügyfél és szolgáltatói oldalon is, hosszú távon ezzel a módszerrel lehet a legnagyobb kárt okozni. Olyan is előfordult, amikor átvették az irányítást egy-egy bank bizonyos ATM-jei felett, és időzített bankjegykiadásra utasították azokat. Ekkor nem volt más teendő, mint valakinek a tervezett időpontban elmenni az automatához, és begyűjteni a zsákmányt.

Az eddigi vizsgálati eredmények szerint mintegy 30 ország akár száz bankjának rendszerébe is befészkelhették magukat a bűnözők – mindezt úgy, hogy számos különböző, cégre vagy cégcsoportra szabott szoftverrel volt dolguk. Az adatok alapján a Carbanak ma is aktívan szedi áldozatait, az eddig azonosított támadások során esetenként legfeljebb tízmillió dollárt tulajdonítottak el, de a nagyságrend mindig változik, a hackerek maximálisan alkalmazkodnak a kínálkozó lehetőségekhez.

A Kaspersky Lab a Carbanak működésének technikai részleteit információink szerint késő délután fogja nyilvánosságra hozni, cikkünket ezekkel később frissíteni fogjuk.

a címlapról