SG.hu
Így kell végrehajtani egy pénzügyi kibertámadást
Egy orosz vállalat megkérte a Kaspersky Lab-et egy incidens kivizsgálására, melynek során több mint 130,000 dollárt kíséreltek meg ellopni a cég bankszámlájáról. A vezetők rosszindulatú programot sejtettek a történtek hátterében, és gyanújuk már a vizsgálat első napjaiban beigazolódott.
A cég közleménye szerint kiberbűnözők megfertőzték a vállalat számítógépeit egy rosszindulatú mellékletet tartalmazó e-maillel, amelyről úgy tűnt, hogy az állami adóhatóságtól érkezett. Hogy távoli hozzáférést szerezzenek a könyvelő a vállalati hálózathoz csatlakozó számítógépéhez, a hackerek egy legális program módosított változatát használták. A pénz ellopására egy rosszindulatú programot használtak. Ez a Carberp banki trójai elemeit tartalmazta, amelynek a forráskódja nyilvánosan elérhető. A kiberbűnözők hibáztak C&C szervereik konfigurálásakor, lehetővé téve a Kaspersky Lab szakértőinek, hogy felfedjék más fertőzött számítógépek IP címét, és figyelmeztessék tulajdonosaikat a veszélyre.
A pénzügyekre szakosodott kiberbűnözők által megtámadott vállalat bankja blokkolta a megkísérelt 130 000 dolláros tranzakciót. Azonban a hackerek sikeresen végrehajtottak egy 8000 dolláros kifizetést, mivel az összeg túlságosan kicsi volt ahhoz, hogy riassza a bankot, és nem igényelt további jóváhagyást az ügyfél könyvelőjétől.
A Kaspersky szakértői megkapták a megtámadott számítógép merevlemezének image fájlját. Ennek tanulmányozása során igen hamar felfedezték a gyanús e-mailt, amelyet az állami adóhivatal nevében küldtek, arra kérve a céget, hogy sürgősen mutasson be pár dokumentumot. Ezek listáját egy mellékelt Word-dokumentum tartalmazta, amelyet megfertőztek a CVE-2012-0158 jelű sérülékenység kihasználására szolgáló kóddal. A kód a dokumentum megnyitásakor aktivizálódott, és letöltött egy másik rosszindulatú programot az áldozat számítógépére.
A fertőzött számítógép merevlemezén a specialisták megtalálták egy távoli hozzáférésre kifejlesztett, legális program módosított változatát. Ez a program általánosan használt a könyvelők és rendszeradminisztrátorok körében. Azonban a szakértők által talált verziót úgy módosították, hogy leplezze jelenlétét a fertőzött gépen.
Mindazonáltal nem ez volt az egyetlen rosszindulatú program az áldozat számítógépén. A további vizsgálat kiderítette, hogy egy másik backdoort (Backdoor.Win32.Agent) töltöttek le a megfertőzött gépre a Backdoor.Win32.RMS segítségével. A kiberbűnözők ezt a fertőzött géppel való távoli Virtual Network Computing (VNC) hozzáférés létesítésére használták. Ráadásul a Backdoor.Win32.Agent kódjában a szakértők megtalálták a Carberp banki trójai elemeit. A Carberp forráskódját az év elején publikálták.
Miután a kiberbűnözők megszerezték az ellenőrzést a számítógép felett, egy illegális fizetési megbízást hoztak létre a banki rendszerben, amelyet a könyvelő számítógépének IP címével hitelesítettek a bank felé. De hogyan jutottak hozzá a könyvelő jelszavához, amely szükséges volt a tranzakció elindításához? A szakértők folytatták a vizsgálatot, és újabb rosszindulatú programra, a Trojan-Spy.Win32.Delf nevű billentyűzetleütés-figyelőre bukkantak. Ennek segítségével lopták el a kiberbűnözők a könyvelő jelszavát.
További áldozatok. Ahogy a vizsgálat a befejezéséhez közeledett, a szakértők újabb érdekességet fedeztek fel: a támadásban résztvevő összes rosszindulatú programot olyan C&C szerverekről irányították, amelyek IP címe ugyanahhoz az alhálózathoz tartozott. Amikor ezt az alhálózatot létrehozták, a kiberbűnözők elkövettek egy hibát, amely lehetővé tette a Kaspersky Lab szakértőinek, hogy kiderítsék a Trojan-Spy.Win32.Delf-fel megfertőzött további számítógépek IP címét. Bebizonyosodott, hogy ezeknek a gépeknek a többsége kis- és középvállalkozások tulajdonában van, amelyeket a Kaspersky Lab azonnal figyelmeztetett a veszélyre.
“Habár az incidens Oroszországban történt, technikai szempontból nem nevezhető ország specifikusnak: valójában ez a fajta kiberbűncselekmény országonként kevéssé tér el. Világszerte a legtöbb vállalat a Windows és az Office különféle változatait használja, amelyek kijavítatlan sérülékenységeket tartalmazhatnak. Ugyancsak kevéssé különböznek egymástól az egyes országokban azok a módszerek, amelyekkel a vállalatok pénzügyi osztályai kapcsolódnak a banki szolgáltatásokhoz. Ez megkönnyíti a kiberbűnözők helyzetét, akik a távoli bankolást lehetővé tevő rendszerek révén próbálnak meg pénzt lopni,” mondta Mikhail Prokhorenko, a Kaspersky Lab Global Emergency Response Team malware elemzője.
Annak érdekében, hogy csökkentsék a céges bankszámlákról való pénzlopás kockázatát, a Kaspersky Lab szakértői azt tanácsolják a távoli bankolási rendszereket használó szervezeteknek, hogy hozzanak létre megbízható, többfaktoros hitelesítést (tokenekkel, egyszer használatos, a bank által kiadott jelszavakkal stb.); gondoskodjanak róla, hogy a vállalati számítógépekre telepített szoftvereket azonnal frissítsék (különösen a pénzügyi osztályokon használtakat); védjék ezeket a számítógépeket egy biztonsági megoldással; valamint képezzék ki az alkalmazottakat arra, hogy felismerjék a támadások jeleit és ezekre megfelelően reagáljanak.
A cég közleménye szerint kiberbűnözők megfertőzték a vállalat számítógépeit egy rosszindulatú mellékletet tartalmazó e-maillel, amelyről úgy tűnt, hogy az állami adóhatóságtól érkezett. Hogy távoli hozzáférést szerezzenek a könyvelő a vállalati hálózathoz csatlakozó számítógépéhez, a hackerek egy legális program módosított változatát használták. A pénz ellopására egy rosszindulatú programot használtak. Ez a Carberp banki trójai elemeit tartalmazta, amelynek a forráskódja nyilvánosan elérhető. A kiberbűnözők hibáztak C&C szervereik konfigurálásakor, lehetővé téve a Kaspersky Lab szakértőinek, hogy felfedjék más fertőzött számítógépek IP címét, és figyelmeztessék tulajdonosaikat a veszélyre.
A pénzügyekre szakosodott kiberbűnözők által megtámadott vállalat bankja blokkolta a megkísérelt 130 000 dolláros tranzakciót. Azonban a hackerek sikeresen végrehajtottak egy 8000 dolláros kifizetést, mivel az összeg túlságosan kicsi volt ahhoz, hogy riassza a bankot, és nem igényelt további jóváhagyást az ügyfél könyvelőjétől.
A Kaspersky szakértői megkapták a megtámadott számítógép merevlemezének image fájlját. Ennek tanulmányozása során igen hamar felfedezték a gyanús e-mailt, amelyet az állami adóhivatal nevében küldtek, arra kérve a céget, hogy sürgősen mutasson be pár dokumentumot. Ezek listáját egy mellékelt Word-dokumentum tartalmazta, amelyet megfertőztek a CVE-2012-0158 jelű sérülékenység kihasználására szolgáló kóddal. A kód a dokumentum megnyitásakor aktivizálódott, és letöltött egy másik rosszindulatú programot az áldozat számítógépére.
A fertőzött számítógép merevlemezén a specialisták megtalálták egy távoli hozzáférésre kifejlesztett, legális program módosított változatát. Ez a program általánosan használt a könyvelők és rendszeradminisztrátorok körében. Azonban a szakértők által talált verziót úgy módosították, hogy leplezze jelenlétét a fertőzött gépen.
Mindazonáltal nem ez volt az egyetlen rosszindulatú program az áldozat számítógépén. A további vizsgálat kiderítette, hogy egy másik backdoort (Backdoor.Win32.Agent) töltöttek le a megfertőzött gépre a Backdoor.Win32.RMS segítségével. A kiberbűnözők ezt a fertőzött géppel való távoli Virtual Network Computing (VNC) hozzáférés létesítésére használták. Ráadásul a Backdoor.Win32.Agent kódjában a szakértők megtalálták a Carberp banki trójai elemeit. A Carberp forráskódját az év elején publikálták.
Miután a kiberbűnözők megszerezték az ellenőrzést a számítógép felett, egy illegális fizetési megbízást hoztak létre a banki rendszerben, amelyet a könyvelő számítógépének IP címével hitelesítettek a bank felé. De hogyan jutottak hozzá a könyvelő jelszavához, amely szükséges volt a tranzakció elindításához? A szakértők folytatták a vizsgálatot, és újabb rosszindulatú programra, a Trojan-Spy.Win32.Delf nevű billentyűzetleütés-figyelőre bukkantak. Ennek segítségével lopták el a kiberbűnözők a könyvelő jelszavát.
További áldozatok. Ahogy a vizsgálat a befejezéséhez közeledett, a szakértők újabb érdekességet fedeztek fel: a támadásban résztvevő összes rosszindulatú programot olyan C&C szerverekről irányították, amelyek IP címe ugyanahhoz az alhálózathoz tartozott. Amikor ezt az alhálózatot létrehozták, a kiberbűnözők elkövettek egy hibát, amely lehetővé tette a Kaspersky Lab szakértőinek, hogy kiderítsék a Trojan-Spy.Win32.Delf-fel megfertőzött további számítógépek IP címét. Bebizonyosodott, hogy ezeknek a gépeknek a többsége kis- és középvállalkozások tulajdonában van, amelyeket a Kaspersky Lab azonnal figyelmeztetett a veszélyre.
“Habár az incidens Oroszországban történt, technikai szempontból nem nevezhető ország specifikusnak: valójában ez a fajta kiberbűncselekmény országonként kevéssé tér el. Világszerte a legtöbb vállalat a Windows és az Office különféle változatait használja, amelyek kijavítatlan sérülékenységeket tartalmazhatnak. Ugyancsak kevéssé különböznek egymástól az egyes országokban azok a módszerek, amelyekkel a vállalatok pénzügyi osztályai kapcsolódnak a banki szolgáltatásokhoz. Ez megkönnyíti a kiberbűnözők helyzetét, akik a távoli bankolást lehetővé tevő rendszerek révén próbálnak meg pénzt lopni,” mondta Mikhail Prokhorenko, a Kaspersky Lab Global Emergency Response Team malware elemzője.
Annak érdekében, hogy csökkentsék a céges bankszámlákról való pénzlopás kockázatát, a Kaspersky Lab szakértői azt tanácsolják a távoli bankolási rendszereket használó szervezeteknek, hogy hozzanak létre megbízható, többfaktoros hitelesítést (tokenekkel, egyszer használatos, a bank által kiadott jelszavakkal stb.); gondoskodjanak róla, hogy a vállalati számítógépekre telepített szoftvereket azonnal frissítsék (különösen a pénzügyi osztályokon használtakat); védjék ezeket a számítógépeket egy biztonsági megoldással; valamint képezzék ki az alkalmazottakat arra, hogy felismerjék a támadások jeleit és ezekre megfelelően reagáljanak.