Για την επιστροφή της εγκληματικής εκστρατείας Carbanak αλλά και δύο ακόμα ομάδες, τις Metel και GCMAN, που λειτουργούν με τον ίδιο τρόπο προειδοποιεί η Kaspersky Lab, η οποία προχώρησε στις συγκεκριμένες αποκαλύψεις στο πλαίσιο της ετήσιας εκδήλωσής της, Kaspersky Security Analyst Summit.
Η ρώσικη εταιρεία που δραστηριοποιείται στον τομέα της ασφάλειας είχε αποκαλύψει ένα χρόνο πριν την εγκληματική συμμορία Carbanak, η οποία ήταν υπεύθυνη για επιθέσεις σε τράπεζες σε διάφορες χώρες με τη λεία να αγγίζει το 1 δισ. ευρώ. Όπως αναφέρει τώρα η Kaspersky Lab, oι στόχοι της εκστρατείας Carbanak 2.0 δεν περιορίζονται μόνο στις τράπεζες, αλλά εκτείνονται και στις οικονομικές διευθύνσεις και τα λογιστήρια των οργανισμών που εμφανίζουν ενδιαφέρον για τους ψηφιακούς εγκληματίες. Μάλιστα, σε μια χαρακτηριστική περίπτωση που διερεύνησε η Kaspersky Lab, η συμμορία Carbanak 2.0 απέκτησε πρόσβαση σε ένα χρηματοπιστωτικό οργανισμό και προχώρησε στην αλλαγή των διαπιστευτηρίων ιδιοκτησίας μιας μεγάλης εταιρείας. Οι πληροφορίες τροποποιήθηκαν ώστε να παρουσιάζεται ένας «μεσάζοντας» ως μέτοχος της εταιρείας, εμφανίζοντας τα δικά του στοιχεία ταυτότητας.
Σε ότι αφορά τις δύο νέες εγκληματικές ομάδας, η Metel χρησιμοποιεί, μεταξύ άλλων, μια εξαιρετικά έξυπνη μέθοδο δράσης, μέσω της οποίας αποκτά τον έλεγχο συσκευών και συστημάτων στο εσωτερικό μιας τράπεζας, που έχουν πρόσβαση σε χρηματικές συναλλαγές (π.χ. τηλεφωνικό κέντρο, υπολογιστές υποστήριξης), ώστε να αυτοματοποιήσει την επαναφορά των συναλλαγών από τα μηχανήματα ΑΤΜ. Η δυνατότητα επαναφοράς εξασφαλίζει ότι το λογιστικό υπόλοιπο των χρεωστικών καρτών παραμένει το ίδιο, ανεξάρτητα από τον αριθμό των συναλλαγών που έχουν πραγματοποιηθεί μέσω ATM. Στις περιπτώσεις που έχουν παρατηρηθεί μέχρι σήμερα, η εγκληματική ομάδα κλέβει χρήματα ως εξής: κυκλοφορώντας τη νύχτα, κάνει διάφορες στάσεις σε Ρωσικές πόλεις και αδειάζει τα ΑΤΜ διάφορων τραπεζών, χρησιμοποιώντας κατ'επανάληψη τις ίδιες χρεωστικές κάρτες που έχουν εκδοθεί από την «παραβιασμένη» τράπεζα. Με αυτό τον τρόπο, εξαργυρώνουν τα χρήματα που θέλουν μέσα σε μία μόλις νύχτα.
Κατά τη διάρκεια της εγκληματολογικής έρευνας, οι ειδικοί της Kaspersky Lab ανακάλυψαν ότι οι υπεύθυνοι πίσω από την εκστρατεία Metel επιτυγχάνουν την αρχική «μόλυνση» των συστημάτων, μέσω ειδικά διαμορφωμένων spear-phishing email, που περιέχουν κακόβουλα συνημμένα αρχεία, καθώς και μέσω του πακέτου exploit Niteris, με στόχο τα τρωτά σημεία στο πρόγραμμα περιήγησης του θύματος. Μόλις εισβάλουν στο δίκτυο, οι ψηφιακοί εγκληματίες χρησιμοποιούν νόμιμα εργαλεία και εργαλεία δοκιμών διείσδυσης για να κινηθούν κρυφά, παραβιάζοντας τον τοπικό domain controller και – εν τέλει – εντοπίζοντας και ελέγχοντας τους υπολογιστές των υπαλλήλων της τράπεζας, οι οποίοι είναι αρμόδιοι για την επεξεργασία των πληρωμών με κάρτα.
Η ομάδα Metel παραμένει ενεργή και η έρευνα για τις δραστηριότητές της βρίσκεται σε εξέλιξη. Μέχρι στιγμής, δεν έχουν εντοπιστεί επιθέσεις εκτός Ρωσίας. Ωστόσο, υπάρχουν υπόνοιες ότι η «μόλυνση» είναι πολύ πιο διαδεδομένη. Για τον λόγο αυτό, προτείνεται η πραγματοποίηση προληπτικών ελέγχων από τις τράπεζες.
Και οι τρεις συμμορίες που εντοπίστηκαν κάνουν στροφή προς τη χρήση κακόβουλου λογισμικού που συνοδεύεται από νόμιμο λογισμικό, για τις δόλιες δραστηριότητές τους. Γιατί να δημιουργήσουν πολλά προσαρμοσμένα εργαλεία κακόβουλου λογισμικού, όταν πολλά νόμιμα μέσα μπορούν να είναι εξίσου αποτελεσματικά, ενεργοποιώντας έτσι πολύ λιγότερους συναγερμούς;
Ωστόσο, όσον αφορά τις προσπάθειες απόκρυψης, η ομάδα GCMAN πηγαίνει ακόμη πιο πέρα. Μερικές φορές, μπορεί να επιτεθεί με επιτυχία, χωρίς να χρησιμοποιήσει οποιοδήποτε κακόβουλο πρόγραμμα, «τρέχοντας» μόνο νόμιμα εργαλεία και εργαλεία δοκιμών διείσδυσης. Στις περιπτώσεις που έχουν διερευνηθεί από τους ειδικούς της Kaspersky Lab, η εκστρατεία GCMAN χρησιμοποιούσε τα βοηθητικά προγράμματα Putty, VNC και Meterpreter για να κινείται κρυφά στο δίκτυο έως ότου οι επιτιθέμενοι φτάσουν σε ένα μηχάνημα, το οποίο θα μπορούσε να χρησιμοποιηθεί για τη μεταφορά χρημάτων σε υπηρεσίες ηλεκτρονικών νομισμάτων, χωρίς να προειδοποιηθούν άλλα τραπεζικά συστήματα.
Σε μια από τις επιθέσεις που διερεύνησε η Kaspersky Lab, οι ψηφιακοί εγκληματίες παρέμειναν στο δίκτυο για ενάμιση χρόνο πριν προχωρήσουν στην κλοπή. Τα χρήματα μεταφέρονταν σε ποσά ύψους περίπου $200. Το συγκεκριμένο ποσό είναι το ανώτατο όριο για ανώνυμες πληρωμές στη Ρωσία. Κάθε λεπτό, ο χρονοπρογραμματιστής CRON έστελνε ένα κακόβουλο σενάριο και ακόμα ένα ποσό μεταφερόταν σε λογαριασμούς ηλεκτρονικών νομισμάτων, οι οποίοι προορίζονταν για ξέπλυμα χρήματος. Οι εντολές συναλλαγής στέλνονταν απευθείας στην upstream πύλη πληρωμών της τράπεζας και δεν εμφανίζονταν πουθενά στα εσωτερικά συστήματά της.
Όπως αναφέρει η σχετική ανακοίνωση, τα προϊόντα της Kaspersky Lab εντοπίζουν και εμποδίζουν το κακόβουλο λογισμικό που χρησιμοποιείται για τις εκστρατείες Carbanak 2.0, Metel και GCMAN. Επίσης, η εταιρεία θα θέσει σε κυκλοφορία μια σειρά Κρίσιμων Δεικτών Παραβίασης και άλλα δεδομένα, ώστε να βοηθήσει τους οργανισμούς να αναζητήσουν τα ίχνη αυτών των συμμοριών στα εταιρικά τους δίκτυα. Περισσότερες πληροφορίες είναι διαθέσιμες εδώ.
Μετά τις τελευταίες εξελίξεις, η Kaspersky Lab καλεί όλους τους οργανισμούς να ελέγξουν προσεκτικά τα δίκτυά τους για την παρουσία των Carbanak, Metel και GCMAN. Σε περίπτωση εντοπισμού, οι οργανισμού καλούνται να απομακρύνουν τη «μόλυνση» από τα συστήματά τους και να αναφέρουν την εισβολή στις διωκτικές αρχές.
Σχόλια