08 февраля 2016

Новые грабители банков используют APT-инструментарий

Грабители банков уже давно сменили налетчиков на безотказный набор из клавиатуры и троянца, способного похищать пароли.

Однако вскоре мошенникам будет недостаточно троянцев-банкеров. Злоумышленники все чаще прибегают к методам, которыми пользуются кибершпионские группировки, и в результате проворачивают удачные операции на миллионы долларов.




На начавшемся сегодня саммите Security Analyst Summit эксперты исследовательского центра GReAT «Лаборатории Касперского» обнародовали подробности о новых киберпреступных кампаниях, организаторы которых скопировали многие методы, используемые кибершпионами в атаках на определенные страны. Кроме того, исследователи оповестили о возвращении непотопляемой группировки Carbanak, которая в прошлом году, по различным сведениям, похитила $1 млрд из более чем 100 финансовых учреждений.

Самой «результативной» среди новых кампаний является Metel, действие которой разворачивается, в основном, в России. Злоумышленники атакуют системы, имеющие отношение к денежным транзакциям – например, системы, используемые в колл-центрах и центрах поддержки клиентов. Скомпрометировав компьютеры сотрудников, ответственных за проведение денежных транзакций, хакеры организовывают автоматический откат операций, осуществляемых в банкоматах. Metel орудует в 30 организациях; хотя преступники опустошают банкомат за банкоматом, баланс их счетов остается неизменным.

По данным экспертов «Лаборатории», один российский банк таким образом потерял несколько миллионов рублей за одну ночь.

«Клиенты банка снимали деньги в банкоматах других банков и в итоге смогли снять огромные суммы денег, при этом, по данным процессинга, баланс их счетов не изменился. Банк, пострадавший в результате атаки, ждал большой сюрприз, когда другие банки попытались вернуть деньги, которые злоумышленники сняли в их банкоматах».

В «Лаборатории Касперского» подчеркнули, что названия банков, пострадавших от группировки, не разглашаются: в данный момент идет расследование. Индикаторы атаки были опубликованы сегодня на Securelist.com.

Metel заражает компьютеры финансовых учреждений, распространяя вредоносное ПО через довольно качественные целевые фишинговые сообщения или заманивая пользователей на вредоносные сайты, атакующие эксплойтами из набора Niteris. Вредоносная программа похищает системную информацию, в том числе списки запущенных процессов и скриншоты. Злоумышленники, получающие эту информацию, таким образом определяют, представляет ли для них интерес тот или иной компьютер. Эти это так, в систему догружается оставшаяся часть Metel.

Зловред состоит из более чем 30 модулей; некоторые разработаны самими членами группировки, некоторые взяты из имеющихся источников. Для пентестинга хакеры используют инструменты вроде mimikatz – бесплатной утилиты, которую ИБ-исследователи задействуют для выявления паролей, хранящихся в незашифрованном виде, хешей, PIN-кодов или тикетов Kerberos в памяти систем Windows.

Получив доступ, атакующие продолжают красть учетные данные, пока не выйдут на контроллер локального домена. Захватив контроль над ним, злоумышленники фактически получают доступ к любому компьютеру в организации.

«Наше исследование выявило, что атакующие крали наличные из банкоматов сторонних банков, – говорится в отчете «Лаборатории Касперского». – Благодаря откату транзакций банкомата средства сразу же возвращались на счет, хотя наличные уже были выданы. Группировка предпочитала действовать только ночью, полностью опустошая резервуары для банкнот в избранных банкоматах, расположенных в ряде городов России».

Вторая группировка, о которой стало известно сегодня, – это GCMAN, обязанная своим названием тому, что зловред был скомпилирован на GCC-компиляторе. Методы злоумышленников также основываются на APT-техниках, что помогает им проводить атаки незаметно, иногда обходясь без вредоносного ПО и полагаясь исключительно на легальные инструменты пентестинга – VNC, Putty и Meterpreter.

На начальном этапе проникновения осуществлялись при помощи целевых фишинговых атак и распространения вредоносного архива RAR, замаскированного под документ Word, – до тех пор, пока злоумышленники не получали доступ к компьютерам, используемым для перевода денежных средств на сервисы криптовалют, не привлекая внимания систем защиты в инфраструктуре банка.

Исследователи «Лаборатории Касперского» рассказали, что в одном из случаев преступник начал красть деньги только спустя полтора года после проникновения в сеть. Кибермошенники начали переводить по $200 в минуту, используя планировщик CRON для исполнения вредоносных скриптов и перевода средств на счета «мулов». Запросы на осуществление транзакций поступали напрямую на банковский платежный шлюз, то есть преступники даже не регистрировались во внутренних системах банка.

«Группировка скомпрометировала один из публичных веб-серверов банка, внедрив в него SQL-код, и спустя полтора года вернулась за награбленным. За время атаки преступники скомпрометировали 70 внутренних хостов и 56 аккаунтов, проводя атаку со 139 источников (главным образом, используя сеть TOR и взломанные домашние маршрутизаторы), – считают в «Лаборатории Касперского». – Мы обнаружили это за два месяца до инцидента, так как неизвестный пользователь пытался подобрать пароль администратора к одному из банковских серверов. Злоумышленники были очень настойчивы. Подбор пароля осуществлялся только по субботам, и злоумышленники допускали только три попытки в неделю – все ради того, чтобы не вызывать подозрений».

После того, как группировку Carbanak вычислили около года назад, исследователи решили, что преступники ушли на покой. Однако в прошлом сентябре эксперты CSIS в Дании заметили новые образцы Carbanak. Четыре месяца спустя «Лаборатория Касперского» выявила образцы Carbanak в инфраструктурах одной телекоммуникационной компании и одной финансовой организации, подтвердив догадку, что преступники взялись за старое.

«Одна из любопытных особенностей нового Carbanak 2.0 – расширение сферы интересов группировки, – говорится в отчете «Лаборатории». – Хакеры больше не довольствуются только банками и теперь нацелены на бухгалтерии и финансовые департаменты, независимо от профиля деятельности организаций. Для атаки злоумышленники используют проверенный набор APT-инструментов и техник».

Хакеры, стоящие за атаками Carbanak, получают доступ к системам организации, чтобы заменить информацию о владельце счета данными «денежного мула», подконтрольного злоумышленникам.

Carbanak также старается заполучить доступ к контроллерам локального домена, чтобы изменить данные и вывести средства на подставные счета.

«Хакеры модифицируют информацию, подставляя паспортные данные «мула» в сведения об акционере компании, и последующие действия преступников должны доказать, что сообщник хакеров является совладельцем крупной компании», – говорится в отчете.

Новые грабители банков используют APT-инструментарий | Threatpost | Новости информационной безопасности