Banky v ohrožení. Carbanak opět útočí.
Skupina Carbanak se opět objevila na kybernetické scéně. Analytici Kaspersky Lab identifikovali její novou verzi Carbanak 2.0 a také další dvě skupiny – Metel a GCMAN, které fungují v podobném stylu. Tým GReAT Kaspersky Lab (Global Research and Analysis Team) zveřejnil tyto informace na každoročním summitu Kaspersky Security Analyst Summit (SAS).
Před rokem analytici Kaspersky Lab varovali, že kyberzločinci začnou používat nástroje a taktiky „státních“ APT hrozeb k vykrádání bank. Nyní společnost potvrdila znovuobjevení Carbanaku a také odhalila další dvě skupiny, Metel a GCMAN. Ty útočí na finanční instituce tak, že provádí průzkum za použití skrytých APT hrozeb a k tomu přizpůsobenému malwaru spolu s legitimním softwarem. Zároveň využívají nové a inovativní cesty, jak peníze získat.
Skupina Metel je obzvláště zajímavá svou pozoruhodně chytrou strategií. Aktéři jsou schopni získat kontrolu nad zařízeními uvnitř banky, která mají přístup k peněžním transakcím (call centrum či podpůrné počítače) a následně zautomatizovat odvolání transakcí v bankomatech. Tím zajistí, že se zůstatek na debetních kartách nezmění, a to bez ohledu na počet provedených transakcí. V doposud pozorovaných případech kradla skupina peníze tak, že v noci objížděla ruská města a vybírala peníze z bankomatů patřících několika bankám. Opakovaně tak používala ty samé debetní karty vydané napadenými bankami.
„Aktivní fáze kybernetických útoků je dnes čím dál kratší. Pokud jsou útočníci zruční, zabere jim jen pár dnů či týden získat to, co chtějí a uprchnout,“ říká Sergey Golovanov, hlavní bezpečnostní analytik týmu GReAT Kaspersky Lab.
Během vyšetřování analytici Kaspersky Lab zjistili, že aktéři skupiny Metel dosáhli počáteční infekce skrze speciálně vytvořené cílené phishingové e-maily. Ty obsahovaly škodlivou přílohu cílící skrze exploit pack Niteris na slabá místa v prohlížečích obětí. Jakmile se kyberzločinci dostali do sítě, použili legitimní nástroje a penetrační testování a získali místní řadiče domén. Posléze díky tomu lokalizovali a převzali kontrolu nad počítači zaměstnanců bank, kteří byli zodpovědní za zpracování platebních karet. Skupina Metel je stále aktivní a její vyšetřování nadále pokračuje. Zatím nebyly zjištěny žádné útoky mimo území Ruska. Přesto existuje podezření, že se infekce rozšířila a analytici proto radí bankám po celém světě důkladně zkontrolovat jejich systémy.
Všechny tři identifikované skupiny začínají během svých operací využívat malware spolu s legitimním softwarem. Ten může být stejně efektivní a přitom dokáže spustit daleko méně alarmů. Není tak nutné vytvářet velké množství „na míru“ přizpůsobeného malwaru.
Aktéři GCMAN zašli ve svém utajení ještě dále. V některých případech dokonce zvládli úspěšně napadnout organizaci bez použití malwaru, jen se spuštěním legitimních nástrojů a penetračního testování. Analytici Kaspersky Lab zjistili, že GCMAN používá k pohybu po síti PuTTY, VNC a Meterpreter nástroje, a to tak dlouho, dokud útočníci nedosáhnou na zařízení použitelné pro převod peněz do e-měny bez varování dalších bankovních systémů. Při jednom útoku tak byli kyberzločinci v síti jeden a půl roku, než se jim podařilo samotnou krádež spustit. Peníze pak převáděli v sumách okolo 200 dolarů, tedy na horní hranici anonymních plateb v Rusku. Každou minutu plánovač úloh CRON spustil škodlivý skript a další suma byla převedena na účty podvodníků v e-měnách. Transakční příkazy byly posílány přímo bankovní platební bránou a neukazovaly se tak nikde v interních systémech banky.
Carbanak 2.0 je přetrvávající pokročilou hrozbou využívající stejné nástroje a techniky jako její předchůdce. Odlišuje se ale jinými profily obětí a inovativní cestami, jak získat peníze. V minulém roce proto nebyly terčem Carbanaku 2.0 jen banky, ale i rozpočtová a účetní oddělení různých společností. V jednom případě tak skupina napadla finanční instituci a změnila vlastnické údaje u jiné velké firmy. Podvodníci byli uvedeni jako akcionáři společnosti a informace zobrazovaly jejich identifikační údaje.
„Útoky na finanční instituce v roce 2015 naznačují znepokojivý trend, kdy kyberzločini poměrně agresivně využívají útoků v APT stylu. Skupina Carbanak je jen první z mnoha. Útočníci se rychle učí, jak využívat nové techniky a Kaspersky Lab zaznamenala, že se mnoho z nich nyní zaměřuje na napadání bank namísto jednotlivých uživatelů. Je to logické, jdou přímo na místo, kde jsou peníze,“ varuje Sergey Golovanov. „Naším cílem je ukázat, jak a obzvláště kde mohou útočníci udeřit. Po útocích skupiny GCMAN je jisté, že je potřeba zkontrolovat zabezpečení bankovních serverů. V případě Carbanaku pak zabezpečit databáze obsahující informace o vlastnících účtů, nikoli jen jejich zůstatky.“
Produkty Kaspersky Lab úspěšně detekují a blokují malware používaný skupinami Carbanak 2.0, Metel a GCMAN. Společnost Kaspersky Lab také vydala klíčové IOC indikátory (Indicators of Compromise) a další data k tomu, aby pomohla organizacím hledat stopy těchto útoků v jejich podnikové síti. Více informací naleznete na tomto webu. Analytici Kaspersky Lab apelují na všechny organizace, aby důkladně zkontrolovaly své podnikové sítě na přítomnost infekce a v případě detekce systémy vyčistily a nahlásily vniknutí příslušným orgánům.
