Pēc gada, kopš Kaspersky Lab brīdināja, ka kibernoziedznieki varētu sākt pārņemt valstu atbalstīto sarežģīto mērķuzbrukumu (APT) rīkus un taktiku, lai aplaupītu bankas, uzņēmums ir apstiprinājis Carbanak atgriešanos Carbanak 2.0 formā un atklājis vēl divas grupas – Metel un GCMAN –, kas darbojas tādā pašā stilā. Tās uzbrūk finanšu organizācijām, izmantojot slepenu sarežģīto mērķuzbrukumu veida novērošanu un pielāgotas ļaunprogrammatūras kopā ar leģitīmu programmatūru, kā arī jaunas, inovatīvas naudas saņemšanas shēmas.

Par to Kaspersky Lab Globālā pētniecības un analīzes grupa paziņoja Kaspersky drošības analītiķu samitā (SAS) — tas ir gadskārtējs pasākums, kurā tiekas antivīrusu pētnieki un izstrādātāji, pasaules tiesībaizsardzības iestādes un informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (CERT), kā arī drošības pētnieku sabiedrības pārstāvji.

Kibernoziedznieku grupas Metel risinājumu rokasgrāmatā ir daudz triku, bet īpaši interesanta ir tās ļoti viltīgā shēma: bankā iegūstot kontroli pār mašīnām, kam ir piekļuve naudas darījumiem (piemēram, bankas zvanu centra vai atbalsta datoriem), banda var automatizēt bankas automātu darījumu atcelšanu.

Atcelšanas iespēja nodrošina, ka debetkaršu atlikums paliek nemainīgs neatkarīgi no veikto bankas automātu darījumu skaita. Līdz šim novērotajos piemēros noziedzīgā grupa zog naudu, naktī braukājot pa Krievijas pilsētām un iztukšojot vairākām bankām piederošus bankas automātus, atkārtoti izmantojot vienas un tās pašas debetkartes, ko izdevusi uzlauztā banka. Viņi prata iztukšot bankomātus tikai vienā naktī.

«Tagad kiberuzbrukumu aktīvā fāze kļūst arvien īsāka. Kad uzbrucēji ir iemanījušies veikt kādu darbību, viņiem ir vajadzīgas tikai dažas dienas vai nedēļa, lai paņemtu, ko viņi vēlas, un bēgtu,» komentēja Kaspersky Lab Globālās pētniecības un analīzes grupas galvenais drošības pētnieks Sergejs Golovanovs.

Kriminālizmeklēšanas gaitā Kaspersky Lab eksperti atklāja, ka Metel operatori veic sākotnējo inficēšanu, izmantojot īpaši izstrādātas mērķētas pikšķerēšanas e-pasta vēstules ar ļaunpielikumiem un Niteris mūķu pakotni, kas ir vērsta pret ievainojamībām upura pārlūkprogrammā. Kad kibernoziedznieki ir iekļuvuši tīklā, viņi izmanto leģitīmus un ielaušanās testēšanas rīkus, lai virzītos laterāli, nolaupītu vietējā domēna kontrolleri un galu galā atrastu un iegūtu kontroli pār datoriem, kurus izmanto par maksājumu karšu apstrādi atbildīgie bankas darbinieki.

Grupa Metel joprojām ir aktīva, un tās darbības izmeklēšana turpinās. Līdz šim nav konstatēti uzbrukumi ārpus Krievijas, tomēr ir pamats aizdomām, ka infekcija ir daudz plašāka, tāpēc bankām visā pasaulē ir ieteicams nekavējoties pārbaudīt, vai tās nav inficētas.

Lai veiktu krāpnieciskās darbības, visas trīs atklātās bandas pāriet uz ļaunprogrammatūru izmantošanu kopā ar leģitīmu programmatūru: kāpēc gan rakstīt daudz pielāgotu ļaunrīku, ja leģitīmās utilītprogrammas var būt tikpat efektīvas un iedarbina daudz mazāk trauksmes signālu?

No slepenības viedokļa GCMAN dalībnieki iet vēl tālāk: reizēm viņi veic sekmīgu uzbrukumu organizācijai, vispār neizmantojot ļaunprogrammatūras, bet lietojot vienīgi leģitīmus un ielaušanās testēšanas rīkus. Kaspersky Lab ekspertu izmeklētajos gadījumos ir novērots, ka GCMAN izmanto utilītprogrammas Putty, VNC un Meterpreter, lai laterāli virzītos pa tīklu, līdz uzbrucēji ir sasnieguši mašīnu, kuru var izmantot naudas pārskaitīšanai uz e-valūtas pakalpojumiem, neiedarbinot trauksmi citās bankas sistēmās.

Kādā Kaspersky Lab novērotajā uzbrukumā kibernoziedznieki atradās tīklā pusotru gadu pirms zādzības aktivizēšanas. Nauda tika pārskaitīta pa aptuveni 200 USD, kas ir anonīmo maksājumu maksimālā robeža Krievijā. Reizi minūtē fona programma (dēmons) CRON plānotājs palaida ļaunskriptu un kārtējā summa tika pārskaitīta uz e-valūtas kontu, kas pieder naudas mūlim. Maksājuma uzdevumi tika nosūtīti tieši uz bankas augšupējo maksājumu vārteju un vispār neparādījās bankas iekšējās sistēmās.

Un, visbeidzot, Carbanak 2.0 iezīmē sarežģīto mērķuzbrukumu drauda Carbanak atkārtotu parādīšanos ar tiem pašiem rīkiem un paņēmieniem, bet ar atšķirīgu upura profilu un jauniem naudas saņemšanas veidiem.

2015. gadā Carbanak 2.0 mērķis bija ne tikai bankas, bet arī jebkuras pietiekami interesantas organizācijas budžeta plānošanas un grāmatvedības uzskaites nodaļas. Kādā Kaspersky Lab novērotajā piemērā banda Carbanak 2.0 piekļuva finanšu institūcijai un sāka mainīt liela uzņēmuma īpašumtiesību pilnvaras. Informācija tika pārveidota, lai naudas mūlis būtu viens no uzņēmuma akcionāriem, parādot tā identifikācijas informāciju.

«2015. gadā atklātie uzbrukumi finanšu institūcijām liecina par satraucošu tendenci, ka kibernoziedznieki agresīvi pārņem sarežģītu mērķuzbrukumu metodes. Banda Carbanak ir tikai pirmā no daudzām: patlaban kibernoziedznieki ātri mācās, kā izmantot jaunos paņēmienus savā darbībā, un mēs redzam, ka arvien vairāk uzbrucēju pāriet no uzbrukumiem lietotājiem uz tiešiem uzbrukumiem bankām. Viņu loģika ir vienkārša: tur ir nauda,» brīdina Sergejs Golovanovs. «Mēs gribam parādīt, tieši kā un kur draudu dalībnieki var uzbrukt, lai dabūtu jūsu naudu. Es ceru, ka, uzzinājuši par GCMAN uzbrukumiem, jūs dosities pārbaudīt, kā ir aizsargāti jūsu internetbankas serveri, savukārt, runājot par Carbanak, mēs iesakām aizsargāt ne tikai kontu īpašnieku konta atlikumu, bet arī datubāzi, kas satur informāciju par viņiem.»

Kaspersky Lab izstrādājumi sekmīgi atklāj un bloķē ļaunprogrammatūras, ko izmanto draudu Carbanak 2.0, Metel un GCMAN dalībnieki. Turklāt uzņēmums izlaiž būtiskos drošības pārkāpumu indikatorus (IOC) un citus datus, lai palīdzētu organizācijām meklēt šo uzbrukuma grupu pēdas sava uzņēmuma tīklā. Vairāk informācijas var atrast https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks/.

Mēs aicinām visas organizācijas rūpīgi pārbaudīt savu tīklu, vai tajā nav konstatējama Carbanak, Metel un GCMAN klātbūtne, un, ja ir, dezinficēt sistēmas un ziņot par ielaušanos tiesībaizsardzības iestādēm.