20 февраля 2015

Великое банковское ограбление: Carbanak APT

Бизнес

«Лаборатория Касперского» обнаружила огромного масштаба кампанию по краже денег под кодовым названием Carbanak APT. Суммарные потери от нее уже достигли $1 млрд., и кампания всё ещё идёт. Эксперты «Лаборатории Касперского» Сергей Голованов и Сергей Ложкин вчера представили своё исследование Carbanak на Kaspersky Security Analyst Summit. Читайте об этом в блоге здесь.

IMG_6883

Однажды про это снимут фильм

В конце 2014 года «Лаборатория Касперского» предсказывала, что одержимые хищением денег преступники намерены переключить свое внимание непосредственно на то, что их интересует. Проще говоря, они нападут на банки. Именно это и произошло. Согласно информации, предоставленной правоохранительными органами и самими жертвами, общий объем финансовых потерь может достигать $1 млрд., что, безусловно, делает Carbanak самой успешной преступной киберкампанией в истории. Возможно, в один прекрасный день о ней снимут фильм, как получилось с Великим ограблением поезда в 1855 году.

По всему миру

Вернемся к сути дела. Расследование Carbanak началось в Украине, где деньги таинственным образом выкачали прямо из банкомата, а затем они перекочевали в Москву. Большинство жертв оказались из Восточной Европы, но благодаря полученным с контрольного сервера данным, мы знаем, что Carbanak нацелен также на мишени в США, Германии и Китае.

Бэкдор и разведка вручную

Насколько известно на данный момент, злоумышленники подсаживали в системы своих жертв бэкдор на основе Carberp. Первая атака начинается со спиэрфишингового письма с вредоносным вложением; известны также случаи, когда использовались документы Word, эксплуатировавшие известные уязвимости. После выполнения шелл-кода запускался бэкдор.

Интересно, что затем злоумышленники переходили к разведке вручную, пытаясь обнаружить и скомпрометировать «соответствующие» компьютеры, например, администраторов. Настоящими целями преступников являются системы, посредством которых можно добыть деньги.

Для того чтобы проследить за работой конкретного банка, инфицированные компьютеры использовались для записи видео, которое затем отправлялось на контрольные серверы. Относительно низкого качества видеоролики вполне устраивали преступников. Вдобавок, они были вооружены данными клавиатурного ввода с этих конкретных машин, что позволяло понять действия жертв. Всё это обеспечивало их необходимой информацией для обналичивания средств.

Обналичивание

В ходе расследования было выявлено несколько способов обналичивания. Либо банкоматы без всякого прямого взаимодействия с самим устройством получали дистанционные команды на выдачу наличных, которые забирали специальные «мулы», либо для перекачки средств из организации на счета преступников использовалась сеть SWIFT. Кроме того, базы данных о счетах могли быть изменены таким образом, чтобы создавать поддельные счета с относительно высоким балансом, а «мулы» отправлялись собирать деньги.

Кампания активно шла, по-видимому, с декабря 2013 года. Пик заражений был зарегистрирован в июне 2014 года, но кампания по-прежнему идёт, так что едва ли хоть одна финансовая организация может считать себя в полной безопасности.

Все корпоративные продукты и решения «Лаборатории Касперского» обнаруживают и блокируют известные образцы Carbanak.

Несколько общих рекомендаций по безопасности:

  • Не открывайте подозрительные электронные письма, особенно с вложениями
  • Регулярно обновляйте программное обеспечение

На слайде ниже показано, как выявить симптомы заражения Carbanak:

Более подробный отчет со ссылкой на полное исследование доступен на Securelist.