Πριν από ένα χρόνο, η Kaspersky Lab απηύθυνε προειδοποιήσεις ότι οι ψηφιακοί εγκληματίες θα άρχιζαν να υιοθετούν εργαλεία και τακτικές υλοποίησης κρατικά υποστηριζόμενων επιθέσεων APT (Advanced Persistent Threat) για ληστείες τραπεζών. Φέτος, η εταιρεία επιβεβαιώνει την επιστροφή της εγκληματικής εκστρατείας Carbanak, ως Carbanak 2.0, ενώ αποκαλύπτει δύο ακόμα ομάδες που λειτουργούν με τον ίδιο τρόπο: τις Metel και GCMAN. Οι ομάδες αυτές επιτίθενται σε χρηματοοικονομικούς οργανισμούς, χρησιμοποιώντας συγκεκαλυμμένες αναγνωρίσεις, παρόμοιες με αυτές των επιθέσεων APT, καθώς και προσαρμοσμένα κακόβουλα προγράμματα, σε συνδυασμό με νόμιμα λογισμικά και νέες, καινοτόμες μεθόδους για να προχωρήσουν σε εξαργύρωση χρημάτων.
Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab προχώρησε σε αυτές τις αποκαλύψεις κατά τη διάρκεια του Kaspersky Security Analyst Summit (SAS), της ετήσιας εκδήλωσης της εταιρείας, η οποία αποτελεί μια πλατφόρμα διαλόγου για ερευνητές κακόβουλων προγραμμάτων, προγραμματιστές, διωκτικές αρχές και Ομάδες Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (CERT) απ’ όλο τον κόσμο και μέλη της ευρύτερης ερευνητικής κοινότητας για θέματα ασφάλειας.
Η ψηφιακή εγκληματική ομάδα Metel χρησιμοποιεί πολλές τεχνικές. Το ενδιαφέρον γύρω από τη δράση της εστιάζεται κυρίως στη χρήση μιας εξαιρετικά έξυπνης μεθόδου δράσης. Συγκεκριμένα, η ομάδα αυτή αποκτά τον έλεγχο συσκευών και συστημάτων στο εσωτερικό μιας τράπεζας, οι οποίες έχουν πρόσβαση σε χρηματικές συναλλαγές (π.χ. τηλεφωνικό κέντρο, υπολογιστές υποστήριξης), ώστε να αυτοματοποιήσει την επαναφορά των συναλλαγών από τα μηχανήματα ΑΤΜ.
Η δυνατότητα επαναφοράς εξασφαλίζει ότι το λογιστικό υπόλοιπο των χρεωστικών καρτών παραμένει το ίδιο, ανεξάρτητα από τον αριθμό των συναλλαγών που έχουν πραγματοποιηθεί μέσω ATM. Στις περιπτώσεις που έχουν παρατηρηθεί μέχρι σήμερα, η εγκληματική ομάδα κλέβει χρήματα ως εξής: Κυκλοφορώντας τη νύχτα, κάνει διάφορες στάσεις σε Ρωσικές πόλεις και αδειάζει τα ΑΤΜ διάφορων τραπεζών, χρησιμοποιώντας κατ'επανάληψη τις ίδιες χρεωστικές κάρτες που έχουν εκδοθεί από την «παραβιασμένη» τράπεζα. Με αυτό τον τρόπο, εξαργυρώνουν τα χρήματα που θέλουν μέσα σε μία μόλις νύχτα.
«Σήμερα, η ενεργή φάση μιας ψηφιακής επίθεσης γίνεται ολοένα και μικρότερη. Όταν οι επιτιθέμενοι εξειδικευθούν σε μια συγκεκριμένη λειτουργία, χρειάζονται μόλις λίγες μέρες ή μια εβδομάδα, για να πάρουν αυτό που θέλουν και να φύγουν από το προσκήνιο», σχολίασε ο Sergey Golovanov, Principal Security Researcher της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.
Κατά τη διάρκεια της εγκληματολογικής έρευνας, οι ειδικοί της Kaspersky Lab ανακάλυψαν ότι οι υπεύθυνοι πίσω από την εκστρατεία Metel επιτυγχάνουν την αρχική «μόλυνση» των συστημάτων, μέσω ειδικά διαμορφωμένων spear-phishing email, που περιέχουν κακόβουλα συνημμένα αρχεία, καθώς και μέσω του πακέτου exploit Niteris, με στόχο τα τρωτά σημεία στο πρόγραμμα περιήγησης του θύματος. Μόλις εισβάλουν στο δίκτυο, οι ψηφιακοί εγκληματίες χρησιμοποιούν νόμιμα εργαλεία και εργαλεία δοκιμών διείσδυσης για να κινηθούν κρυφά, παραβιάζοντας τον τοπικό domain controller και – εν τέλει – εντοπίζοντας και ελέγχοντας τους υπολογιστές των υπαλλήλων της τράπεζας, οι οποίοι είναι αρμόδιοι για την επεξεργασία των πληρωμών με κάρτα.
Η ομάδα Metel παραμένει ενεργή και η έρευνα για τις δραστηριότητές της βρίσκεται σε εξέλιξη. Μέχρι στιγμής, δεν έχουν εντοπιστεί επιθέσεις εκτός Ρωσίας. Ωστόσο, υπάρχουν υπόνοιες ότι η «μόλυνση» είναι πολύ πιο διαδεδομένη. Για τον λόγο αυτό, προτείνεται η πραγματοποίηση προληπτικών ελέγχων από τις τράπεζες.
Και οι τρεις συμμορίες που εντοπίστηκαν κάνουν στροφή προς τη χρήση κακόβουλου λογισμικού που συνοδεύεται από νόμιμο λογισμικό, για τις δόλιες δραστηριότητές τους. Γιατί να δημιουργήσουν πολλά προσαρμοσμένα εργαλεία κακόβουλου λογισμικού, όταν πολλά νόμιμα μέσα μπορούν να είναι εξίσου αποτελεσματικά, ενεργοποιώντας έτσι πολύ λιγότερους συναγερμούς;
Ωστόσο, όσον αφορά τις προσπάθειες απόκρυψης, η ομάδα GCMAN πηγαίνει ακόμη πιο πέρα. Μερικές φορές, μπορεί να επιτεθεί με επιτυχία, χωρίς να χρησιμοποιήσει οποιοδήποτε κακόβουλο πρόγραμμα, «τρέχοντας» μόνο νόμιμα εργαλεία και εργαλεία δοκιμών διείσδυσης. Στις περιπτώσεις που έχουν διερευνηθεί από τους ειδικούς της Kaspersky Lab, η εκστρατεία GCMAN χρησιμοποιούσε τα βοηθητικά προγράμματα Putty, VNC και Meterpreter για να κινείται κρυφά στο δίκτυο έως ότου οι επιτιθέμενοι φτάσουν σε ένα μηχάνημα, το οποίο θα μπορούσε να χρησιμοποιηθεί για τη μεταφορά χρημάτων σε υπηρεσίες ηλεκτρονικών νομισμάτων, χωρίς να προειδοποιηθούν άλλα τραπεζικά συστήματα.
Σε μια από τις επιθέσεις που διερεύνησε η Kaspersky Lab, οι ψηφιακοί εγκληματίες παρέμειναν στο δίκτυο για ενάμιση χρόνο πριν προχωρήσουν στην κλοπή. Τα χρήματα μεταφέρονταν σε ποσά ύψους περίπου $200. Το συγκεκριμένο ποσό είναι το ανώτατο όριο για ανώνυμες πληρωμές στη Ρωσία. Κάθε λεπτό, ο χρονοπρογραμματιστής CRON έστελνε ένα κακόβουλο σενάριο και ακόμα ένα ποσό μεταφερόταν σε λογαριασμούς ηλεκτρονικών νομισμάτων, οι οποίοι προορίζονταν για ξέπλυμα χρήματος. Οι εντολές συναλλαγής στέλνονταν απευθείας στην upstream πύλη πληρωμών της τράπεζας και δεν εμφανίζονταν πουθενά στα εσωτερικά συστήματά της.
Τέλος, το Carbanak 2.0 σηματοδοτεί την επανεμφάνιση της APTεπίθεσης Carbanak. Στο πλαίσιο αυτής της εκστρατείας, χρησιμοποιούνται τα ίδια εργαλεία και τεχνικές, αλλά το προφίλ των θυμάτων είναι διαφορετικό, ενώ παρατηρούνται και καινοτόμοι τρόποι εξαργύρωσης χρημάτων.
Οι στόχοι της εκστρατείας Carbanak 2.0 δεν περιορίζονται μόνο στις τράπεζες, αλλά εκτείνονται και στις οικονομικές διευθύνσεις και τα λογιστήρια των οργανισμών που εμφανίζουν ενδιαφέρον για τους ψηφιακούς εγκληματίες. Σε μια χαρακτηριστική περίπτωση που διερεύνησε η Kaspersky Lab, η συμμορία Carbanak 2.0 απέκτησε πρόσβαση σε ένα χρηματοπιστωτικό οργανισμό και προχώρησε στην αλλαγή των διαπιστευτηρίων ιδιοκτησίας μιας μεγάλης εταιρείας. Οι πληροφορίες τροποποιήθηκαν ώστε να παρουσιάζεται ένας «μεσάζοντας» ως μέτοχος της εταιρείας, εμφανίζοντας τα δικά του στοιχεία ταυτότητας.
«Οι επιθέσεις σε χρηματοπιστωτικούς οργανισμούς που αποκαλύφτηκαν κατά το 2015 δείχνουν μια ανησυχητική τάση: Οι ψηφιακοί εγκληματίες υιοθετούν τακτικές όμοιες με αυτές των επιθέσεων APT. Η συμμορία Carbanak ήταν μόνο η πρώτη από τις πολλές που θα δούμε. Σήμερα, οι ψηφιακοί εγκληματίες μαθαίνουν γρήγορα πώς να χρησιμοποιούν νέες τεχνικές στις δραστηριότητές τους, ενώ πολλές εγκληματικές ομάδες μετατοπίζουν το ενδιαφέρον τους από τη στοχοποίηση των χρηστών στις άμεσες επιθέσεις προς τις τράπεζες. Η λογική τους είναι απλή: εκεί βρίσκονται τα χρήματα»,προειδοποιεί ο Sergey Golovanov. «Στόχος μας είναι να αναδείξουμε πώς και πού, συγκεκριμένα, μπορεί να χτυπήσουν οι απειλητικοί παράγοντες, για να αποσπάσουν τα χρήματά σας. Έπειτα από την ενημέρωση για τις επιθέσεις της συμμορίας GCMAN, αναμένουμε ότι θα γίνουν έλεγχοι για το αν οι web banking servers είναι προστατευμένοι. Όσον αφορά στην περίπτωση του Carbanak, συνίσταται στις επιχειρήσεις να ενισχύσουν την προστασία της βάσης δεδομένων που περιέχει πληροφορίες σχετικά με τους ιδιοκτήτες των λογαριασμών, όχι μόνο για τα τραπεζικά υπόλοιπα», συμπλήρωσε ο ίδιος.