Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Carbanak: egymilliárd dollárt is veszíthettek a bankok

Voith Hunor, 2015. február 16. 13:15
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Akár egymilliárd dollárt is ellophatott az a 2013 óta tevékenykedő, kifinomult módszereket alkalmazó és nagyon türelmes bűnözői csoport, amit a Kaspersky Lab az Interpollal és az Europollal együttműködve derített fel. A Carbanak az eddigi információk szerint mintegy 100 bankot célzott világszerte, egy támadás átlagosan 2-4 hónap alatt zajlott le.

hirdetés

Máris minden idők legnagyobb bankrablásaként emlegetik azt a Kaspersky Lab, Interpol és Europol által felderített támadássorozatot, melynek során a becslések szerint akár egymilliárd dollárt is ellophattak eddig mintegy száz érintett banktól világszerte. A művelet során több jól bevált módszert gyúrtak egybe, és már a történet elején levonhatjuk a milliárd dolláros tanulságot: a csatolmányok megfelelő kezelése vállalati környezetben még mindig kritikus probléma.

A jó öreg spear phishinggel kezdődött ez is

A Kaspersky vizsgálata szerint a támadásokat nagyrészt kelet-európából (többségében Oroszországból és Ukrajnából) és Kínából indították, az ilyen műveletekben már bizonyítottan hasznos spear phising módszerrel. Ha sikerült rávenni a megcélzott pénzügyi intézmények egyik alkalmazottját a nekik küldött levél csatolmányának megnyitására (ami általában valamilyen Word dokumentum vagy .cpl fájl volt), a Carbanak települt az áldozat gépére. Ezt követően a támadók a malware lehetőségeit kihasználva szabad bejárást kaptak a kompromittált rendszerbe, és az elsődlegesen bejuttatott malware-en felül további, rendszerspecifikus eszközöket is bevetettek.

Ezekkel jellemzően a hálózatot térképezték fel, adminisztrátorok gépei után kutatva, melyekre megfigyelő programot telepítettek. A képernyőn történeket aztán akár hetekig vagy hónapokig figyelték a háttérből, hogy teljes képet kapjanak az alkalmazott tevékenységéről, munkavégzési szokásairól, viselkedési mintájáról, hozzáférési jogosultságairól.

A biztonsági cég tájékoztatása szerint fertőzésre utalhat, ha .bin kiterjesztésű fájlok vannak az All users / %Appdata% / Mozilla vagy a ProgramData / Mozilla könyvtárakban, továbbá egy svchost.exe állomány a Windows / System32 / com (vagy Syswow64 / com) könyvtárban, és a futó Windows szolgáltatások között duplikáció lép fel (ahol a bűnös szolgáltatást a -sys utótagról lehet megismerni). A Carbanak jelenlétére utalhat az is, ha a Windows könyvtárban van egy távoli alkalmazásfuttatásra parancssoros lehetőséget kínáló paexec fájl.

A türelem milliókat terem

A bűnözők a fertőzést és a szükséges információk megszerzését követően több módszerrel loptak pénzt a bankoktól. Volt, hogy egyszerűen saját számláikra utaltak bizonyos összegeket standard bankközi folyamatokat vagy elektronikus fizetési megoldásokat használva. A Kaspersky szerint az utóbbi esetekben amerikai és kínai pénzintézetek szolgáltak átmeneti tárolóként.

Amikor hozzáférést tudtak szerezni az intézmények könyvviteli rendszeréhez, esetenként egyszerűen csak átírták a számlaegyenlegeket (például 1000 dollárt 10 000-re), majd az így “létrehozott” plusz pénzt átutalták maguknak. Az ilyen típusú átverés észrevételének viszonylag hosszú az átfutási ideje ügyfél és szolgáltatói oldalon is, hosszú távon ezzel a módszerrel lehet a legnagyobb kárt okozni. Olyan is előfordult, amikor átvették az irányítást egy-egy bank bizonyos ATM-jei felett, és időzített bankjegykiadásra utasították azokat. Ekkor nem volt más teendő, mint valakinek a tervezett időpontban elmenni az automatához, és begyűjteni a zsákmányt.

Az eddigi vizsgálati eredmények szerint mintegy 30 ország akár száz bankjának rendszerébe is befészkelhették magukat a bűnözők – mindezt úgy, hogy számos különböző, cégre vagy cégcsoportra szabott szoftverrel volt dolguk. Az adatok alapján a Carbanak ma is aktívan szedi áldozatait, az eddig azonosított támadások során esetenként legfeljebb tízmillió dollárt tulajdonítottak el, de a nagyságrend mindig változik, a hackerek maximálisan alkalmazkodnak a kínálkozó lehetőségekhez.

A Kaspersky Lab a Carbanak működésének technikai részleteit információink szerint késő délután fogja nyilvánosságra hozni, cikkünket ezekkel később frissíteni fogjuk.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!