0 comments

Kaspersky avertizeaza: Bancile nu-ti pot proteja economiile de-o viata

by on 08/02/2016
 

Anul trecut, Kaspersky Lab avertizau ca infractorii cibernetici vor incepe sa adopte instrumente si tactici folosite de grupari APT (Advanced Persistent Threats) cu sprijin statal.

De atunci, compania a confirmat revenirea gruparii Carbanak sub denumirea Carbanak 2.0 si a demascat alte doua grupari care opereaza in acelasi stil: Metel si GCMAN, ce ataca organizatii financiar-bancare folosind metode APT si malware personalizat, propagat prin atacuri de tip spear-fishing, pentru a dobandi acces la sistemele informatice ale bancilor (deseori antice din punct de vedere tehnologic) si a sustrage fonduri prin intermediul ATM-urilor sau a transferurilor electronice.

Gruparea de infractori cibernetici Metel este in mod special interesanta din prisma tehnicilor folosite: obtin control asupra aparatelor din interiorul unei banci, care au acces la tranzactiile cu numerar (de ex. call center-ul bancii, computerele care asigura suport tehnic) si, astfel, gruparea poate realiza rollback-uri.

Metoda este reminiscenta tehnicilor folosite deseori in gamingul online, pentru duplicarea de resurse in interiorul jocurilor video. Prin rollback, balanta de pe un card de debit este restabilita dupa o retragere prin intermediul bancomatului sau a unui transfer electronic. Astfel, Metel fura bani mergand cu masina noaptea prin orase din Rusia si golind bancomatele de la mai multe banci, folosind de fiecare data aceleasi carduri de debit emise de banca al carei sistem a fost afectat. 

In prezent, faza activa a unui atac cibernetic se scurteaza. Atunci cand atacatorii se perfectioneaza intr-un anumit mod de operare, le ia doar cateva zile sau o saptamana sa obtina ce vor si sa fuga”, spune Sergey Golovanov, Principal Security Researcher la Global Research & Analysis Team, Kaspersky Lab.

Expertii Kaspersky Lab au descoperit ca membrii Metel infecteaza initial un sistem prin email-uri de phishing, ce au in attach documente malware, si prin intermediul pachetului de exploit-uri Niteris, care vizeaza vulnerabilitatile din browser-ul victimei. Odata in retea, faptasii folosesc tehnici si instrumente de penetration testing, pentru a expune noi vulnerabilitati si a-si largi nivelul de acces.

Pana acum, nu au fost identificate semne ale unor atacuri realizate in afara Rusiei.

Ca abilitati de ascundere, gruparea GCMAN merge si mai departe: se pare ca au atacat cu cu succes organizatii fara sa foloseasca malware, doar cu instrumente legitime si de testare a vulnerabilitatilor.

Se pare ca intre prima infectie si detectie, timpul efectiv de acces la infractorilor in retea a fost de pana la 18 luni – o perioada ampla de timp pentru a identifica vulnerabilitati, planifica rute si mai ales, pentru a compromite cat mai multe metode de securitate, pentru exploatari viitoare. Intr-unul dintre atacuri, atacatorii au ramas conectati la sistem un an si jumatate inainte de a executa efectiv furtul.  

Sumele individuale transferate au fost de aproximativ 200$, limita superioara de plati care pot fi efectuate anonim in Rusia. Prin intermediul unui Cron script, in fiecare minut o alta suma era transferata in conturi de moneda electronica apartinand unui intermediar. Ordinele de plata nu apareau nicaieri in sistemele interne ale bancii.

In final, Carbanak 2.0 marcheaza revenirea gruparii APT Carbanak, cu aceleasi instrumente si tehnici, dar cu noi modalitati de a extrage bani si un profil diferit al victimelor.

In 2015, Carbanak 2.0 au vizat pe langa banci si departamentele de buget si contabilitate din orice organizatie de interes. Intr-unul dintre exemplele studiate de Kaspersky Lab, banda a patruns intr-o institutie financiara si a modificat datele de cont ale unei mari companii, astfel incat sa se refere la un intermediar al lor drept un actionar al companiei, afisandu-i ID-ul.

Atacurile asupra institutiilor financiare descoperite in 2015 indica o tendinta ingrijoratoare a infractorilor cibernetici de a adopta stilul atacurilor de tip APT. Banda Carbanak a fost doar prima dintre multe: infractorii invata repede acum cum sa foloseasca noi tehnici in activitatea lor, si vedem cum multe dintre ele nu mai ataca utilizatorii, ci direct bancile. Logica lor e simpla: acolo sunt banii”, avertizeaza Serghey Golovanov. “Noi vrem sa aratam cum si unde, mai exact, ar putea lovi acesti actori ai amenintarilor pentru a lua banii. Ma astept ca dupa ce ati auzit de atacurile GCMAN, sa verificati cum va sunt protejate serverele de internet banking. In acelasi timp, in cazul Carbanak recomandam protejarea bazelor de date care contin informatii despre titularii de cont, nu doar extrasele lor de cont.”

[securelist]

Be the first to comment!
 
Leave a reply »

 

Leave a Response