Ilyen profi módon még nem lopták banki adatainkat

| forrás:
TF-információ
| olvasási idő: kb. 2 perc

Egy évvel azután, hogy a Kaspersky Lab arra figyelmeztetett, a kiberbűnözők az államok által támogatott APT-k eszközeit és taktikáját használják majd a bankrablásokhoz, a cég megerősítette a Carbanak csoport Carbanak 2.0-ként való visszatérését, valamint felfedett további két csoportot - Metel és GCMAN -, amelyek ugyanabban a stílusban dolgoznak. Pénzügyi szervezeteket támadnak rejtett APT stílusú felderítés, személyre szabott rosszindulatú programok, törvényes szoftverek és új, innovatív pénzkivételi módszerek segítségével.

Igazi nagyágyukról tanácskoztak

A Kaspersky Lab GReAT csapata tette ezt a bejelentést a Kaspersky Security Analyst Summit (SAS) éves rendezvényén, amely találkozóhelye a vírusellenes kutatóknak és fejlesztőknek, a globális bűnüldöző szerveknek és CERT-eknek, valamint a biztonsági kutató közösség tagjainak.

A Metel kiberbűnözői csoportnak rengeteg trükk van a tarsolyában, de különösen érdekessé egy rendkívül okos módszer teszi, amelynek révén ellenőrzést szerez a bankok pénzügyi tranzakciókhoz hozzáférő számítógépei (például a banki call center gépek) felett, így a bűnbanda automatizálhatja az ATM kifizetések visszaállítását.

Üres ATM-eket hagynak maguk után

A visszaállítási képesség biztosítja, hogy a bankkártyák egyenlege ugyanaz marad, függetlenül a végrehajtott ATM tranzakciók számától. Az eddigi tapasztalatok szerint a kiberbűnözői csoport úgy lop pénzt, hogy éjszakánként körbeautózza az orosz városokat, és kiüríti több bank ATM-eit úgy, hogy a lopáshoz mindig ugyanazt, a feltört pénzintézet által kiadott bankkártyát használják. Így egyetlen éjszaka alatt tudnak készpénzhez jutni.

“Manapság a kibertámadások aktív szakasza egyre rövidebb. Amikor a támadók gyakorlottá válnak egy adott műveletben, akkor csupán napokig vagy hetekig tart, hogy megszerezzék, amit akarnak és elmeneküljenek.“ – mondta Sergey Golovanov, a Kaspersky Lab GReAT csapatának vezető kutatója.

A gyenge pontokat keresik

A vizsgálat során a Kaspersky Lab szakértői kiderítették, hogy a Metel üzemeltetői a kezdeti fertőzést speciálisan kialakított, rosszindulatú melléklettel ellátott, célzott adathalász e-mailekkel, valamint a Niteris kihasználó csomag segítségével érik el, az utóbbi az áldozat böngészőjének sebezhetőségeit támadja.

Miután behatoltak a hálózatba, a számítógépes bűnözők legális eszközökkel hajtanak végre laterális mozgásokat, eltérítik a helyi domain vezérlőt, és ellenőrzést szereznek a kártyák feldolgozásért felelős banki dolgozók számítógépei felett.

Úgy tűnik, a Metel csoport aktív maradt, ezért a tevékenységével kapcsolatos nyomozás tovább folytatódik. Eddig nem azonosítottak Oroszországon kívüli támadást. Ennek ellenére vannak olyan feltételezések, hogy a fertőzés sokkal elterjedtebb, és a bankoknak világszerte azt tanácsolják, hogy proaktív módon ellenőrizzék az esetleges fertőzést.

Mind a három azonosított banda rosszindulatú programokat és legális szoftvereket egyaránt használ csalásai során: miért írjanak egy rakás kártékony programot, amikor a legális segédprogramok ugyanolyan hatékonyak tudnak lenni, és jóval ritkábban indítanak be riasztást.

Kijátsszák a riasztórendszert

De titkosság tekintetében a GCMAN hackerei még tovább mennek: néha sikeres támadást tudnak végrehajtani vállalatok ellen bármiféle rosszindulatú program használata nélkül, csupán törvényes eszközök segítségével. A Kaspersky Lab szakértői által kivizsgált esetekben előfordult olyan GCMAN hacker, aki Putty, VNC és Meterpreter segédprogramokat használt a hálózatban való laterális mozgásra, amíg elért egy olyan számítógépet, amellyel pénzutalást lehetett végrehajtani e-valuta szolgáltatásokra anélkül, hogy más banki rendszereket riasztana.

A Kaspersky Lab által megfigyelt egyik támadásban a kiberbűnözők másfél évig voltak a hálózaton belül, mielőtt véghez vitték a lopást. A pénzt 200 dollár körüli összegekben utalták át, ami a névtelen utalások felső határa Oroszországban. A CRON ütemező minden percben elindított egy rosszindulatú szkriptet, és egy újabb összeg került át egy e-valuta számlára. A tranzakciós megbízásokat közvetlenül a bank upstream fizetési átjárójához küldték és azok sehol sem bukkantak fel a bank belső rendszereiben.

Nem csak a bankokra utaznak

És végül a Carbanak 2.0 a Carbanak APT fenyegetés (fejlett folyamatos fenyegetés) újbóli megjelenését jelzi, ugyanazokkal az eszközökkel és technikákkal, de eltérő áldozati profillal és innovatív kifizetési módszerekkel.

2015-ben a Carbanak 2.0 célpontjai nem csupán bankok voltak, hanem bármely, a hackerek érdeklődésére számot tartó szervezet költségvetési és könyvelési osztálya. A Kaspersky Lab által megfigyelt egyik esetben a Carbanak 2.0 csoport hozzáférést szerzett egy pénzügyi intézmény rendszeréhez, és képes volt megváltoztatni egy nagy cég tulajdonosi adatait. Az információt úgy módosították, hogy egy strómant neveztek meg a társaság egyik részvényesének.

“A pénzügyi szervezetek elleni, 2015-ben feltárt támadások aggasztó tendenciát mutatnak, mivel a kiberbűnözők agresszív átfogó, APT stílusú támadásokat hajtanak végre. A Carbanak banda csak az első volt a sok közül: a kiberbűnözők gyorsan megtanulják, hogyan használják az új technikákat, és egyre gyakrabban látjuk, hogy a felhasználók helyett közvetlenül a bankokat támadják meg. A logikájuk egyszerű: ott van a pénz.” – figyelmeztet a veszélyekre Sergey Golovanov.

“Célunk, hogy  megmutassuk, hol és hogyan csaphatnak le a hackerek az önök pénzére. Arra számítok, hogy miután hallanak a GCMAN támadásokról, ellenőrizni fogják, hogyan vannak védve a bankjaik rendszerei, míg a Carbanak esetében azt javasoljuk, hogy a számlatulajdonosok adatait tartalmazó adatbázist védjék meg, ne csak az egyenlegeiket” - tette hozzá.

Hirdetés
Hirdetés
Hirdetés
Találtuk

Főként magányosak hívják a lelkisegély-szolgálatot advent idején.

Az elkövetkező 15 évben az amerikai állások közel fele automatizálttá válhat.

Hirdetés
Szabadidő, sport

Sokkal többen utaztak a Balatonra a MÁV-val

A nyári szezon első hétvégéjén a tavalyinál 27,5 százalékkal többen.

Magyar fiatalok is pályára lépnek az idei VB-n

A FIFA Világbajnokság-McDonald's Játékoskísérő program keretében...

Hirdetés
Ezt olvasta már?

Megvannak a legjobb internetes kereskedők »

4IG 1050 (1,94 ) AKKO Invest 25200 (1,61 ) ANY 1335 (-0,37 ) APPENINN 475 (2,81 ) AutoWallis 125 (6,38 ) BIF 305 (2,35 ) CIGPANNONIA 370 (0,95 ) CSEPEL 652 (-6,86 ) Duna House A 3920 (-4,16 ) ENEFI 470 (-1,88 ) ESTMEDIA 84 (3,58 ) FUTURAQUA 80 (-0,37 ) GSPARK 3700 (0,27 ) KONZUM 214 (-1,83 ) KPACK 20000 (-0,99 ) MASTERPLAST 718 (-1,37 ) MOL 3116 (0,32 ) MTELEKOM 416 (-0,12 ) NORDTELEKOM 41 (-3,57 ) NUTEX 27 (-3,57 ) OPUS 432 (-0,32 ) ORMESTER 2660 (5,56 ) OTP 11670 (-0,68 ) OTT1 200 (-0,99 ) PANNERGY 710 (-0,56 ) RICHTER 5115 (-0,20 ) SET Group 669 (11,69 ) WABERERS 1190 (-7,39 ) ZWACK 17500 (-1,13 )