מעבדת קספרסקי מזהה וחושפת תרגילים חדשים וחקיינים של Carbanak

שנה לאחר שמעבדת קספרסקי התריעה כי עברייני סייבר מתחילים לאמץ כלים ושיטות של מתקפות ריגול מגובות מדינה כדי לשדוד בנקים, מאשרת קספרסקי את חזרתו של Carbanak, המוגדר הפעם כ- Carbanak 2.0 וחושפת שתי קבוצות נוספות הפועלות בסגנון דומה: Metel ו- GCMAN. הקבוצות תוקפות ארגונים פיננסים באמצעות פעילות מודיעין סמויה, בסגנון מתקפות ריגול (APT) וקוד זדוני מותאם, יחד עם תוכנה לגיטימית ושיטות חדשניות לחילוץ הכסף.

קבוצת עברייני הסייבר Metel מחזיקה בתרגילים רבים בספר התרגילים שלה, אבל היא מעניינת במיוחד בגלל שיטת עבודה חכמה במיוחד: באמצעות השגת שליטה על מכונות בבנק שיש להן גישה לפעולות כספיות (כגון מרכז שירות / מחשבי תמיכה), הכנופיה יכולה לבצע רול-בק אוטומטי (גלגול לאחור) של פעולות בכספומט.

יכולת הרול-בק מבטיחה כי המאזן בכרטיסי חיוב נותר זהה, ללא קשר למספר עסקאות הכספומט שבוצעו. במקרים שנצפו עד היום, קבוצת העבריינים גונבת כסף תוך נסיעה בערים ברוסיה במהלך הלילה וריקון של מכשירי כספומט השייכים למספר בנקים – באופן חוזר באמצעות אותם כרטיסי חיוב שהונפקו על ידי הבנק שנפגע. כך שבמהלך לילה אחד בלבד הם מצליחים להשלים גניבות כספים עצומות.

“השלב הפעיל במתקפת סייבר הופך כיום לקצר יותר. כאשר תוקפים הופכים למיומנים בפעולה מסוימת, לוקח להם מספר ימים או שבוע בלבד לקחת את מה שהם רוצים ולברוח”, אמר סרגיי גולבאנוב, חוקר אבטחה ראשי בצוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי.

במהלך החקירה, מומחי מעבדת קספרסקי חשפו כי מפעילי Metel משיגים את ההדבקה הראשונית באמצעות הודעות דוא”ל של פישינג ממוקד עם קבצים זדוניים מצורפים, ובאמצעות חבילת הפריצה Niteris הם מנצלים פרצות בדפדפן הקורבן. ברגע שהם בתוך הרשת, עברייני הסייבר משתמשים בכלי בדיקות פריצה (Pentest) לגיטימיים כדי לבצע תנועה רוחבית במערכת, כשהם מפצחים את בקר הדומיין המקומי, ובסופו של דבר מאתרים ומשיגים שליטה על מחשבים המשמשים את עובדי הבנק האחראים לעיבוד כרטיסי חיוב.

קבוצת Metel עודנה פעילה והחקירה לגבי פעילותה עדיין נמשכת. עד עתה לא זוהתה אף התקפה מחוץ לרוסיה, ועדיין, ישנו חשד מבוסס כי ההדבקה היא רחבה בהרבה, ומומלץ לבנקים ברחבי העולם לבדוק באופן אקטיבי את הנושא.

כל שלושת הכנופיות שזוהו עוברות לשימוש בקוד זדוני בליווי תוכנה לגיטימית: מדוע לכתוב ולפתח כלים עצמאיים רבים, כאשר כלים לגיטימיים יכולים להיות יעילים באותה מידה, ולהפעיל הרבה פחות אזעקות.

במונחי חמקנות, קבוצת GCMAN עולה על האחרות: לעיתים היא יכולה לתקוף ארגון בהצלחה מבלי להשתמש כלל בקוד זדוני, באמצעות הרצה של כלי בדיקת חדירה לגיטימיים בלבד. במקרים אותם חקרו מומחי מעבדת קספרסקי, נראה כי GCMAN השתמשו ב- Putty, VNC ו- Meterpreter כדי להתקדם לרוחב הרשת עד שהגיעו למכונה שיכולה לשמש להעברת כסף לשירותי מטבע אלקטרוניים, מבלי להדליק התרעה במערכות של בנקים אחרים.

בהתקפה אחת שזוהתה על ידי מעבדת קספרסקי, עברייני הסייבר שהו ברשת במשך שנה וחצי עד שהפעילו את הגניבה. הכסף הועבר בסכומים של כ- 200 דולר, הגבול העליון להעברת כספים אנונימית ברוסיה. בכל דקה, תזמון CRON הפעיל קוד זדוני וסכום נוסף הועבר לחשבונות מטבע אלקטרוניים השייכים ל”בלדר כסף”.

פקודות ההעברה נשלחו ישירות לשער גישה, ולא הוצגו באף מערכת פנימית של הבנק.

ואחרון, Carbanak 2.0, מסמן את חזרתו של איום הריגול Carabank, עם אותם כלים וטכניקות אבל עם פרופיל קורבן שונה ודרכים חדשניות לחילוץ הכסף. ב- 2015, המטרות של Carbanak2.0 לא היו בנקים בלבד, אלא מחלקות תקציב וחשבונות בכל ארגון בעל עניין. במקרה אחד שסקרה מעבדת קספרסקי, קבוצת Carbanak2.0 קיבלה גישה לארגון פיננסי ומשם המשיכה כדי לשנות את הרשאות הבעלות עבור חברה גדולה. המידע שונה כדי ש”בלדר  הכסף” יירשם כבעל מניות של החברה, תוך הצגת נתוני הזיהוי שלו.

“התקפות של גופים פיננסים שנחשפו ב- 2015 מצביעות על מגמה מדאיגה במסגרתה עברייני סייבר מאמצים מתקפות בסגנון ריגול. כנופיית Carbanak הייתה רק הסנונית הראשונה: עברייני סייבר לומדים כעת במהירות כיצד להשתמש בטכניקות חדשות בפעילות שלהם, ואנו רואים רבים יותר נעים מתקיפת משתמשים לתקיפה ישירה של בנקים. ההיגיון שלהם פשוט: שם נמצא הכסף”, אומר סרגיי גולבאנוב. “אנו מתכוונים להציג כיצד והיכן גורמי האיום עלולים לפגוע כדי לקחת את הכסף שלך. אני מצפה כי לאחר ששמעת על התקפות GCMAN, תלך ותבדוק כיצד שרתי הבנק המקוון שלך מוגנים. כחלק מחקירת Carbanak, אנו ממליצים להגן על בסיס הנתונים המכיל מידע לגבי הבעלים של החשבונות, ולא רק על המאזן שלהם”.

מוצרי מעבדת קספרסקי מזהים בהצלחה וחוסמים את הקוד הזדוני הנמצא בשימוש Carbanak 2.0, Metel ו- GCMAN. החברה גם מפרסמת מדדים חיוניים לגבי סיכון (IOC) ונתונים נוספים, כדי לסייע לארגונים לחפש עקבות של קבוצות התקפה אלה ברשתות הארגוניות.

תגובות סגורות