По моему мнении, сильнейшая кибер преступная группа на сегодняшний день.
Из доклада ЛК
В ходе совместного расследования «Лаборатория Касперского», Европол и Интерпол раскрыли беспрецедентную киберпреступную операцию, в рамках которой злоумышленники похитили миллиард долларов США. Киберограбление продолжалось два года и затронуло около 100 финансовых организаций по всему миру. Эксперты полагают, что за этим громким инцидентом стоит международная группировка киберпреступников из России, Украины, ряда других европейских стран, а также Китая.
Криминальная группировка, получившая название Carbanak, использовала методы, характерные для целевых атак. Однако в отличие от многих других инцидентов это ограбление знаменует собой новый этап: теперь киберпреступники могут красть деньги напрямую из банков, а не у пользователей.
Деятельность киберпреступников из банды Carbanak затронула около 100 банков, платежных систем и других финансовых организаций из почти 30 стран, в частности из России, США, Германии, Китая, Украины, Канады, Гонконга, Тайваня, Румынии, Франции, Испании, Норвегии, Индии, Великобритании, Польши, Пакистана, Непала, Марокко, Исландии, Ирландии, Чехии, Швейцарии, Бразилии, Болгарии и Австралии.
Как выяснили эксперты, наиболее крупные суммы денег похищались в процессе вторжения в банковскую сеть: за каждый такой рейд киберпреступники крали до 10 миллионов долларов. В среднем ограбление одного банка — от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей — занимало у хакеров от двух до четырех месяцев.
Преступная схема начиналась с проникновения в компьютер одного из сотрудников организации посредством фишинговых приемов. После заражения машины вредоносным ПО злоумышленники получали доступ к внутренней сети банка, находили компьютеры администраторов систем денежных транзакций и разворачивали видеонаблюдение за их экранами. Таким образом, банда Carbanak знала каждую деталь в работе персонала банка и могла имитировать привычные действия сотрудников при переводе денег на мошеннические счета.
«Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные. Это действительно профессиональное ограбление», — поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
«Эти атаки служат очередным подтверждением того, что злоумышленники неизменно будут эксплуатировать любую уязвимость в любой системе. В таких условиях ни один сектор не может чувствовать себя в абсолютной безопасности, поэтому вопросам защиты стоит постоянно уделять внимание. Выявление новых тенденций в сфере киберпреступлений — одно из основных направлений, по которым Интерпол сотрудничает с «Лабораторией Касперского», и цель этого взаимодействия — помочь государственным и частным компаниям обеспечить лучшую защиту от этих постоянно меняющихся угроз», — отмечает Санджай Вирмани (Sanjay Virmani), директор центра Интерпола, занимающегося расследованием киберпреступлений.
Как банда Carbanak крала деньги:
Когда приходило время забирать деньги, киберпреступники использовали онлайн-банкинг или платежные системы для перевода денег со счета банка на свой собственный. Мошеннические счета были открыты в банках Китая и Америки, однако эксперты не исключают, что преступники также могли хранить украденные деньги в банках других стран.
В некоторых случаях злоумышленники проникали в системы бухгалтерского учета и при помощи мошеннических транзакций «раздували» баланс средств на счете. Например, преступники узнавали, что на счете хранилась 1 тысяча долларов США, тогда они увеличивали баланс до 10 тысяч, а затем переводили 9 тысяч себе. Владелец счета ничего не подозревал, поскольку имевшаяся изначально тысяча долларов по-прежнему была на месте.
Помимо всего прочего, киберграбители получали контроль над банкоматами и активировали команды на выдачу наличных в установленное время. После этого к банкомату подходил кто-нибудь из членов банды и забирал деньги.
«Лаборатория Касперского» рекомендует всем финансовым организациям внимательно просканировать свои сети на наличие вредоносного ПО Carbanak. В случае его обнаружения лучше всего обратиться к правоохранительным органам.
техническая часть работы команды CARABANAK
Во второй половине 2014 года мы уже неоднократно упоминали про целевые атаки на крупные финансовые учреждения как новую ступень мошенничества. Ведь теперь денежные средства похищают не у «мелких юрлиц», а у крупных финансовых компаний, в которых, казалось бы безопасность должна быть на высшем уровне и сложность совершения преступления приближается к «Hell». Однако, учитывая не стихающий поток подобных преступлений, а также особую актуальность на фоне текущего финансового состояния страны, мы решили обновить пост и добавить новых подробностей касательно группы Anunak, которая использует одноименного трояна, также известного как Carbanak. Название Carbanak происходит от склейки двух слов Anunak+Carberp.
Краткий экскурс
После задержаний членов группы Carberp в России, некоторые участники остались без работы, однако, полученный за долгие годы работы опыт позволил им занять новую нишу. Один из участников быстро понял, что можно украсть тысячу раз по $2 000 и заработать 2 миллиона долларов, а можно украсть всего лишь один раз и сразу всю сумму.
С 2013г. активизировалась организованная преступная группа, нацеленная на банки и электронные платежные системы России и пост советского пространства. Особенностью является то, что мошенничество происходит внутри корпоративной сети, с использованием внутренних платежных шлюзов и банковских систем. Таким образом денежные средства похищаются не у клиентов, а у самих банков и платежных систем. Если доступ был получен злоумышленниками в сеть государственного предприятия, то целью злоумышленников является промышленный шпионаж.
Основной костяк преступной группы составляют граждане России и Украины, однако есть лица, оказывающие им поддержку из Белоруссии.
Средняя сумма хищения на территории России и пост советского пространства составляла 2 миллиона долларов США по курсу осени 2014г. С 2013 года ими были успешно получены доступы в сети более 50 Российских банков и 5 платежных систем, некоторые из них были лишены банковской лицензии. На текущий момент итоговая сумма хищений составляет более 1 миллиарда рублей, большая часть из которой приходится на второе полугодие 2014г.
Среднее время с момента проникновения во внутреннюю сеть финансовой организации до момента хищения составляет 42 дня.
В результате доступа во внутренние сети финансовой организации хакерам удавалось получать доступ к серверам управления банкоматами и заражать их своими вредоносными программами, что позволяло в дальнейшем опустошать их по команде. Также результатом проникновения в сеть был доступ к управлению платежными шлюзами (в случае платежных систем) и счетами банка.
С 2014 года участники преступной группы начали активно проявлять интерес к Европейским ритейл компаниям.
Для проникновения во внутреннею сеть используются целевые рассылки по электронной почте, или через другие бот-сети, для чего постоянно поддерживается контакт с владельцами крупных бот-сетей. С августа 2014 года они начали создавать свою крупную бот-сеть используя массовые рассылки по электронной почте, а не Driveby.
Атаки в России
Первое успешное ограбление банка было совершено ими в январе 2013 года. Во всех первых случаях злоумышленники использовали для удаленного доступа в сеть банка программу RDPdoor, а для удаления следов и вывода Windows компьютеров и серверов из строя программу MBR Eraser. Обе программы использовались участниками преступной группы Carberp, которой управлял Germes. Для снижения рисков лишиться доступа во внутреннею сеть банка, кроме вредоносных программ, злоумышленники использовали и легитимные программы для удаленного доступа как Ammy Admin и Team Viewer. В последствии от использования RDPdoor и Team Viewer злоумышленник полностью отказались.
Кроме самих банковских и платежных систем хакеры получали доступы к серверам электронной почты, для контроля всех внутренних коммуникаций. Это позволяло им выяснить, что в сети банка была зафиксирована аномальная активность как она была установлена и какие меры будут предприниматься сотрудниками банка для решения проблемы. Контроль над почтой успешно устанавливался независимо от того был это MS Exchange или Lotus. Это позволяло им принимать обратные меры, позволяя сотрудникам банков и платежных систем получить ощущение что проблема была решена.
Основные этапы развития атаки:
1. Первичное заражение компьютера рядового сотрудника.
2. Получение пароля пользователя с административными правами на некоторых компьютерах. Например, специалист технической поддержки.
3. Получение легитимного доступа к одному из серверов.
4. Компрометация пароля доменного администратора с сервера.
5. Получение доступа на контроллер домена и компрометация всех доменных активных учетных записей.
6. Получение доступа к серверам электронной почты и документооборота.
7. Получение доступа к рабочим станциям администраторов серверов и банковских систем.
8. Установка программного обеспечения для контроля активности операторов интересующих их систем. Обычно это фото и видео фиксация.
9. Настройка удаленного доступа к интересующим серверам включая изменения на межсетевых экранах.
Инструменты
Для проведения целевых атак в 2014 году злоумышленники закончили разработку своей основной вредоносной программы Anunak, которая используется вместе со следующими инструментами:
Mimikatz — для получения паролей от локальных и доменных учетных записей
MBR Eraser — для вывода операционной системы из строя
SoftPerfect Network Scanner — для сканирования локальной сети
Cain & Abel — для получения паролей
SSHD-бэкдор — для получения паролей и удаленного доступа
Ammy Admin — удаленное управление
Team Viewer — удаленное управление
Основной вредоносной программой является «Anunak» по классификации нашей лаборатории. Это троянская программа используется только для целевых атак, преимущественно на банки и платежные системы. Целевое использование позволяет ей оставаться малоизученной, что обеспечивает ей хорошую живучесть внутри корпоративных сетей. При написании данной вредоносной программы в некоторых местах использовался исходный код от банковской троянской программы «Carberp».
«Anunak» обладает следующим набором функциональных возможностей.
В него интегрировано программное обеспечение под названием «Mimikatz». Это программное обеспечение с открытым исходным кодом, позволяющее получать пароли учетных записей пользователей, совершивших вход в систему Windows. Однако данное программное обеспечение существенно изменено: при сохранении функциональных возможностей по получению паролей учетных записей был убран функционал взаимодействия с пользователем, информация об ошибках и ходе выполнения программы. Таким образом, при запуске вредоносной программы на сервере, скрытно будут скомпрометированы все доменные и локальные учетные записи, включая учетные записи администраторов. Для того чтобы получить пароли от учетных записей достаточно ввести последовательно две команды: «privilege::d***g» и «sekurlsa::logonpasswords». При попадание этой программы на контроллер домена, либо сервер электронной почты, компрометируются практически все учетные записи домена, включая администраторов.
Также существует возможность добавления файла исследуемой программы в исключения межсетевого экрана путем создания соответствующего правила через утилиту «Netsh».
В программе реализован функционал перехватчика нажатых клавиш и присутствует возможность создания снимков экрана.
Присутствует функционал, взаимодействующий с банковской системой iFOBS.
На сервер управления вредоносной программой производится отправка ключевой информации, снимков экрана и архивов в формате «cab».
Программа способна скрытно вносить изменения в ряд системных файлов предположительно с целью снятия ограничения настольных версий операционных систем «Microsoft Windows» на количество пользователей, которые могут одновременно подключиться к управляемой данной операционной системой ЭВМ по протоколу RDP с целью осуществления их удаленного администрирования.
Существует возможность загрузки и запуска произвольных исполняемых файлов с управляющего сервера. Одним из таких файлов является программа «AmmyAdmin», которая способна запуститься с аргументами «-service» и «-nogui», что приведет к ее запуску в качестве службы и без интерфейса пользователя. «AmmyAdmin» позволяет по IP адресу и уникальному идентификатору соединяться через сервер «rl.ammyy.com» с другим ЭВМ, имеющим такое же программное обеспечение. В результате соединения злоумышленник получает удалённый доступ к ЭВМ пользователя с запущенным «AmmyAdmin» в обход межсетевых экранов. Снимок окна представлен на рисунке ниже:
При получении доступа к серверам под управлением операционных систем семейства Linux злоумышленники используют SSH-бэкдор передающий на сервер злоумышленникам данные о логинах/паролях, используемых для доступа к серверу, а также предоставляет удаленный доступ злоумышленникам.
Для обеспечения доступа к интересующим серверам правила на межсетевых экранах Microsoft TMG, CISCO и т.п. могут быть соответствующим образом изменены.
Когда у злоумышленников еще не было основной вредоносной программы, которая проводила бы скрытую установку «AmmyAdmin» и сообщала бы злоумышленникам пароль для удаленного доступа, они использовали стороннюю вредоносную программу известную как «Barus». Данная вредоносная программа используется крайне редко и последний раз встречалась нам в 2013 году. Вредоносная программа является разработкой русскоязычных авторов. В панели управления можно заметить поле «Ammy ID» использование которого позволяло злоумышленникам осуществлять удаленное подключение.
Методы распространения вредоносов
В самом начале своей деятельности в 2013 году из-за отсутствия целевого трояна злоумышленники начали распространять Andromeda и Pony. Распространяли указанные вредоносные программы методов Driveby через связку эксплойтов Neutrino Exploit Kit, как показано на рисунке ниже. Интересно, что источником трафика осенью 2013 года для них был сайтphp.net/. Трафик с этого ресурса они перенаправляли на связки еще с июля 2013 года, но обнаружен данный факт был значительно позднее. Имя одного из потоков для распространения вредоносной программы «LOL BANK ****IUNG», что соответствовало их деятельности.
Параллельно с этим они использовали и другой способ заражений, который был одним из основных. Основным способом распространение является отправка писем с вредоносным вложением от имени Центрального банка РФ, потенциального клиента, либо реально существующего контрагента (к аккаунту которого предварительно осуществляется доступ, далее делается рассылка по контакт-листу).
Вторым используемым способом является установка специальной вредоносной программы для проведения целевых атак с помощью другой вредоносной программы, которая могла попасть в локальную сеть случайным образом. Для выявления подобных вредоносных программ, преступная группа поддерживает связь с несколькими владельцами крупных бот-сетей, массово распространяющих свои вредоносные программы. Покупая у таких владельцев бот-сетей сведения об IP-адресах, где установлены их вредоносные программы злоумышленники проверяют IP-адреса на принадлежность финансовым и государственным структурам. Если вредоносная программа находится в интересующей их подсети, то злоумышленники платят владельцу крупной бот-сети за установку их целевой вредоносной программы. Подобные партнерские отношения были с владельцами бот-сетей Zeus, Shiz Ranbyus. Все указанные троянские программы являются банковскими и объясняются прошлыми взаимоотношениями. В конце 2013 года хакер под псевдонимом Dinhold начал строить свою бот-сеть на модифицированном Carberp, после выкладывания в открытый доступ его исходных кодов. С ними были попытки наладить аналогичное взаимодействие, однако, в 2014 году он был арестован не успев развить свою бот-сеть до необходимого уровня.
Код:
#!/usr/bin/python
# -*- coding: utf-8 -*-
import os
from bulkwhois.shadowserver import BulkWhoisShadowserver
iplist_file = 'ip.txt'
path = os.path.dirname(os.path.abspath(__file__))
bulk_whois = BulkWhoisShadowserver()
iplist = []
with open(os.path.join(path, iplist_file)) as f:
for line in f:
iplist.append(line.strip())
result = bulk_whois.lookup_ips(iplist)
with open(os.path.join(path, 'data.txt'), 'a') as f:
for record in result:
f.write('IP: %s\
CC: %s\
Org. Name: %s\
Register: %s\
AS Name: %s\
BGP Prefix: %s\
-------------------------------------------------------\
' % (result[record]['ip'], result[record]['cc'], result[record]['org_name'], result[record]['register'], result[record]['as_name'], result[record]['bgp_prefix']))
Наиболее опасными являются рассылки от имени партнеров с которыми финансовые и государственные учреждения осуществляются постоянный обмен данными по электронной почте. Пример подобной почтовой рассылки произошел 25 сентября 2014 года, в 14:11 с электронного почтового адреса «Elina Shchekina <
[email protected]>», тема письма «Обновленная версия договора». Вложение «договор.doc» эксплуатирует уязвимости CVE-2012-2539 и CVE-2012-0158. Рассылка была проведена на более чем 70 адресов различных компаний (причем в рамках одной компании могло быть несколько адресов получателей).
Письмо с вредоносным вложением (md5: AA36BA9F4DE5892F1DD427B7B2100B06) в архиве с паролем от потенциального клиента, отправленного менеджеру банка после предварительного телефонного разговора с ним. Звонок осуществляли из г. Санкт-Петербург.
Содержимое текстового файла с именем «реквизиты.doc»
ООО «Компания Наш Век»
109387, Россия, г. Москва,
ул. Аносова, д. 24, офис 409
Тел. (495) 124-99-77 факс: (495)124-99-77
Тел. сот. (962) 7135296
E-mail:
[email protected]
ИНН 7329001307 КПП 732901001
р\с 40702810613310001709
Филиал ВТБ 24 (ЗАО) г. Москва
К\с 30101810700000000955
БИК 043602955
Письмо от имени Центрального банка России с вредоносным вложением (md5: 8FA296EFAF87FF4D9179283D42372C52), эксплуатирующим уязвимость CVE-2012-2539 с целью выполнения произвольного кода.
Также были иные примеры писем с вредоносными вложениями, как например отправка писем с файлом «001. photo.exe».
