Fény derült egy pénzügyi kibertámadás titkaira

forrás: Prím Online, 2014. szeptember 11. 12:21

Egy orosz vállalat megkérte a Kaspersky Labet egy incidens kivizsgálására, melynek során több mint 130,000 dollárt kíséreltek meg ellopni a cég bankszámlájáról. A vezetők rosszindulatú programot sejtettek a történtek hátterében, és gyanújuk már a vizsgálat első napjaiban beigazolódott.

A Kasperskíy Lab segítségével kiderült, hogy egy orosz vállalat gépeit rosszindulatú támadás érte. Mit kiderült:

 

·      Kiberbűnözők megfertőzték a vállalat számítógépeit egy rosszindulatú mellékletet tartalmazó e-maillel, amelyről úgy tűnt, hogy az állami adóhatóságtól érkezett;

 

·      Hogy távoli hozzáférést szerezzenek a könyvelő a vállalati hálózathoz csatlakozó számítógépéhez, a hackerek egy legális program módosított változatát használták;

 

·      A pénz ellopására egy rosszindulatú programot használtak. Ez a Carberp banki trójai elemeit tartalmazta, amelynek a forráskódja nyilvánosan elérhető;

 

·      A kiberbűnözők hibáztak C&C szervereik konfigurálásakor, lehetővé téve a Kaspersky Lab szakértőinek, hogy felfedjék más fertőzött számítógépek IP címét, és figyelmeztessék tulajdonosaikat a veszélyre.

 

A pénzügyekre szakosodott kiberbűnözők által megtámadott vállalat bankja blokkolta a megkísérelt 130,000 dolláros tranzakciót. Azonban a hackerek sikeresen végrehajtottak egy 8,000 dolláros kifizetést, mivel az összeg túlságosan kicsi volt ahhoz, hogy riassza a bankot, és nem igényelt további jóváhagyást az ügyfél könyvelőjétől.

 

 

A kiberbűnözők által használt eszközök

 

A Kaspersky Lab Global Emergency Response Team (GERT) szakértői megkapták a megtámadott számítógép merevlemezének image fájlját. Ennek tanulmányozása során igen hamar felfedezték a gyanús e-mailt, amelyet az állami adóhivatal nevében küldtek, arra kérve a céget, hogy sürgősen mutasson be pár dokumentumot. Ezek listáját egy mellékelt Word-dokumentum tartalmazta, amelyet megfertőztek a CVE-2012-0158 jelű sérülékenység kihasználására szolgáló kóddal. A kód a dokumentum megnyitásakor aktivizálódott, és letöltött egy másik rosszindulatú programot az áldozat számítógépére.

 

A fertőzött számítógép merevlemezén a GERT specialistái megtalálták egy távoli hozzáférésre kifejlesztett, legális program módosított változatát. Ez a program általánosan használt a könyvelők és rendszeradminisztrátorok körében. Azonban a szakértők által talált verziót úgy módosították, hogy leplezze jelenlétét a fertőzött gépen.

 

Mindazonáltal nem ez volt az egyetlen rosszindulatú program az áldozat számítógépén. A további vizsgálat kiderítette, hogy egy másik backdoort (Backdoor.Win32.Agent) töltöttek le a megfertőzött gépre a Backdoor.Win32.RMS segítségével. A kiberbűnözők ezt a fertőzött géppel való távoli Virtual Network Computing (VNC) hozzáférés létesítésére használták. Ráadásul a Backdoor.Win32.Agent kódjában a szakértők megtalálták a Carberp banki trójai elemeit. A Carberp forráskódját az év elején publikálták.

 

Miután a kiberbűnözők megszerezték az ellenőrzést a számítógép felett, egy illegális fizetési megbízást hoztak létre a banki rendszerben, amelyet a könyvelő számítógépének IP címével hitelesítettek a bank felé. De hogyan jutottak hozzá a könyvelő jelszavához, amely szükséges volt a tranzakció elindításához? A szakértők folytatták a vizsgálatot, és újabb rosszindulatú programra, a Trojan-Spy.Win32.Delf nevű billentyűzetleütés-figyelőre bukkantak. Ennek segítségével lopták el a kiberbűnözők a könyvelő jelszavát.

 

További áldozatok

 

Ahogy a vizsgálat a befejezéséhez közeledett, a szakértők újabb érdekességet fedeztek fel: a támadásban résztvevő összes rosszindulatú programot olyan C&C szerverekről irányították, amelyek IP címe ugyanahhoz az alhálózathoz tartozott. Amikor ezt az alhálózatot létrehozták, a kiberbűnözők elkövettek egy hibát, amely lehetővé tette a Kaspersky Lab szakértőinek, hogy kiderítsék a Trojan-Spy.Win32.Delf-fel megfertőzött további számítógépek IP címét. Bebizonyosodott, hogy ezeknek a gépeknek a többsége kis- és középvállalkozások tulajdonában van, amelyeket a Kaspersky Lab azonnal figyelmeztetett a veszélyre.

 

„Habár az incidens Oroszországban történt, technikai szempontból nem nevezhető ország specifikusnak: valójában ez a fajta kiberbűncselekmény országonként kevéssé tér el. Világszerte a legtöbb vállalat a Windows és az Office különféle változatait használja, amelyek kijavítatlan sérülékenységeket tartalmazhatnak. Ugyancsak kevéssé különböznek egymástól az egyes országokban azok a módszerek, amelyekkel a vállalatok pénzügyi osztályai kapcsolódnak a banki szolgáltatásokhoz. Ez megkönnyíti a kiberbűnözők helyzetét, akik a távoli bankolást lehetővé tevő rendszerek révén próbálnak meg pénzt lopni," mondta Mikhail Prokhorenko, a Kaspersky Lab Global Emergency Response Team malware elemzője.

 

Annak érdekében, hogy csökkentsék a céges bankszámlákról való pénzlopás kockázatát, a Kaspersky Lab szakértői azt tanácsolják a távoli bankolási rendszereket használó szervezeteknek, hogy hozzanak létre megbízható, többfaktoros hitelesítést (tokenekkel, egyszer használatos, a bank által kiadott jelszavakkal stb.); gondoskodjanak róla, hogy a vállalati számítógépekre telepített szoftvereket azonnal frissítsék (különösen a pénzügyi osztályokon használtakat); védjék ezeket a számítógépeket egy biztonsági megoldással; valamint képezzék ki az alkalmazottakat arra, hogy felismerjék a támadások jeleit és ezekre megfelelően reagáljanak.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Mit mér és mire panaszkodik a magyar netező?

2019. augusztus 19. 09:35

A Magyar Telekom 2019. második negyedéves eredményei

2019. augusztus 8. 11:32

Új tulajdonosa van a UPC-nek

2019. augusztus 1. 12:20

A Bosch és a Daimler megvalósítja a vezető nélküli, automatizált parkolást

2019. július 31. 16:53
online sportfogadás