Ограбление банка и не только: Metel, GCMan и Carbanak 2,0!

В конце 2015 года Центр глобальных исследований и анализа (GReAT) сделал ряд предсказаний о ситуации с ИТ-безопасностью в наступавшем 2016 году. Конечно, эти прогнозы давались не наугад и не являлись

В конце 2015 года Центр глобальных исследований и анализа (GReAT) сделал ряд предсказаний о ситуации с ИТ-безопасностью в наступавшем 2016 году. Конечно, эти прогнозы давались не наугад и не являлись гаданиями на кофейной гуще: они основывались на данных постоянных наблюдений за глобальным ландшафтом угроз и непрерывных исследованиях.

Чтобы проиллюстрировать это, мы поговорим о трёх неординарных киберкражах: двух осуществлённых совершенно новыми для нас субъектами и ещё одним деянием старого знакомого.

Но давайте начнем с первого.

Metel: откат украденных денег

Летом 2015 года наша Команда быстрого реагирования получила сигнал от одного российского банка. Звонившие сообщили о потере денег из-за загадочных финансовых операций, источники которых они не смогли отследить. Специалисты «Лаборатории Касперского» отреагировали быстро и смогли найти причину: вредоносную программу на базе хорошо известного трояна Corkow, который мы окрестили Metel («Метель» по-русски — О.Г.). В ходе следствия была раскрыта операция кибепреступников, использовавших инновационную технологию, позволявшую им свободно подключаться к хранилищам купюр в общественных банкоматах многих банков, которые они затем объезжали ночью на автомобиле. Списания средств, проведённые с использованием собственных пластиковых карт скомпрометированного банка, автоматически восполнялись через взломанный интерфейс заражённой машины центра поддержки. Дальнейшие исследования показали, что операторы Metel осуществили первоначальную инфекцию посредством специально созданных спиэрфишинговых писем с вредоносными вложениями и при помощи набора эксплойтов Niteris, направленных на уязвимости в браузере жертвы.

Продемонстрировав, что запуск успешной направленной атаки не обязательно требует написания множества вредоносных модулей, злоумышленники использовали легитимные инструменты тестирования на проникновение, в том числе Mimikatz, чтобы заполучить учётные данные администратора, заманив его на заражённые машины путём отключения произвольных приложений.

Права администратора сильно облегчили злоумышленникам задачу по поиску обходных путей, захвату локального контроллера домена, и в конечном итоге они сумели найти и взять под управление компьютеры поддержки.

После сделанного открытия «Лаборатория Касперского» обнаружила вредоносную Metel в ИТ-сетях ещё нескольких банков. К счастью, удалось вычистить инфекцию до нанесения серьёзного ущерба. Тем не менее, есть основания подозревать, что данная инфекция распространилась намного шире, поэтому банкам по всему миру рекомендовали провести проактивную проверку на заражение с использованием предоставленных индикаторов компрометации (ИК) или обратиться к специалистам «Лаборатории Касперского» для более тщательного поиска.

GCMan: Пингуя деньги

Ещё один банк, связавшийся с аварийной бригадой «Лаборатории Касперского», заявил об утечке эквивалентной $200 суммы в минуту через неустановленный канал. Наши кибердетективы исследовали «место преступления» и нашли вредоносную программу, затаившуюся среди нескольких законных инструментов тестирования на проникновение (в том числе Putty, VNC и Meterpreter). Вредоносное ПО было скомпилировано с использованием Linux-компилятора GCC — отсюда и прозвище GCMan. Используя методы, очень сходные с действием Metel, GCMan закреплялся внутри периметра безопасности банка с помощью спиэрфишинговых писем и вредоносных вложений. Затем он исследовал сеть, находил сервер, отвечающий за финансовые операции, и создавал работавший по графику скрипт, который начинал посылать 200-долларовые «пинги» нескольким системам электронных платежей без отчёта о проведении транзацкий, не проворцируя никаких сигналов тревоги.

Удача и помощь специалистов «Лаборатории Касперского» позволили банку выявить подозрительную сетевую активность, найти и аннулировать нежелательные операции. И всё-таки стоит заметить, что изначальное заражение произошло более чем за полтора года до начала «пингования денег». В течение долгого времени злоумышленники никак себя не проявляли, постепенно расширяя контроль над сетью и выстраивая основу для последующей преступной операции. 70 хостов и 56 аккаунтов были скомпрометированы с помощью, в общей сложности, 139 вспомогательных источников атаки (включая сеть Tor и скомпрометированные SOHO-маршрутизаторы).

Ещё несколько финансовых организаций связались с «Лабораторией Касперского» по поводу инцидентов, которые, как впоследствии оказалось, связаны с GCMan. Однако есть основания предполагать, что проникновение было гораздо более широким, так что не стесняйтесь устраивать проактивную проверку на показатели вторжения. GCMan может долго запрягать, зато способен начать выкачивать средства в любое время.

Carbanak 2,0: расширяя границы преступления

Те парни, которые заставили поседеть многих банкиров, украв, в общей сложности, около $1 млрд в прошлом году, вернулись! После первой операции они ушли в тень на несколько месяцев, но в сентябре 2015 года наши коллеги из CSIS обнаружили новый штамм их вредоносного кода в ходе расследования одного инцидента. В декабре 2015 года специалисты Центра глобальных исследований и анализа «Лаборатории Касперского» подтвердили, что группа по-прежнему активна, несмотря на все слухи об уходе на покой. В рамках новой серии операций они расширили список своих мишеней, нацелившись на бухгалтерские и бюджетные подразделения в широком спектре компаний. В одном случае они даже пытались подделать информацию, подтвердив, что их сообщником был один из акционеров предприятия. Остается неясным, как они собираслиь воспользоваться этой информацией в будущем.

Первоначальная серия нападений Carbanak отличалась широким использованием легитимных инструментов и даже встроенных административных интерфейсов для достижения целей. Вторая итерация была сходной: помимо обновления своего бэкдор-модуля, преступники использовали инструменты тестирования на проникновение, такие как Meterpreter и ряд законных средств удаленного администрирования, в том числе тот же Ammyy Admin, который был использован во время их первого появления.

metel2

Меньше вредоносного: больше легитимного ПО плюс обширное тестирование

Эти три случая ярко иллюстрируют важную тенденцию в подходе к проведению направленных атак. Зачем писать много специальных вредоносных программ, когда законные утилиты могут быть столь же эффективными и вызывают меньше подозрений? Необходимой эффективности можно достичь посредством тестирования технологии на симулякре системы ИТ-безопасности предполагаемой цели и последующей подстройки схемы атаки. Такая ситуация заслуживает дополнительного внимания к вашему текущему состоянию безопасности: некоторые аспекты, безусловно, надо пересмотреть.

Решение проблемы

Первое, что нужно сделать с учётом сказанного выше, — это пересмотреть схему срабатывания тревожного сигнала от различных типов «потенциально опасного ПО», такого как инструменты удалённого администрирования: они требуют особого внимания. Но, конечно, только этого не достаточно. Согласно комплексной Стратегии противодействия Управления радиотехнической обороны Австралии, разрешение запуска приложения с использованием «белого списка» является одним из четырёх приоритетных подходов, эффективным в 85% зарегистрированных нарушений безопасности, связанных с целенаправленными атаками. В случае финансовых учреждений цена взлома может быть невероятно высока: помимо самого денежного вопроса, под угрозой могут оказаться сотни тысяч наборов данных клиентов. Так что вполне заслуживает рассмотрения функция запрета по умолчанию в отношении контроля приложений для всех тех рабочих станций, которые выполняют только ограниченное число задач — у операторов клиентской поддержки или на ПК бухгалтеров, например. Это ставит препятствует запуску большинства вредоносных программ на файловой основе, оставляя возможность выполнения только программ из «белого списка». Установление политики доступа в интернет ещё больше снижает риск: от многих рабочих станций и не требуется возможность просмотра веб-страниц, а остальным можно ограничить доступ только к самым безопасным веб-ресурсам с помощью веб-контроля. А контроль устройств ограничит использование портативных хранилищ, которые могут служить как в качестве векторов инфекции, так и средства утечки данных.

Но даже такие мощные технологии как «белые списки» и запрет по умолчанию не могут считаться панацеей. Злоумышленники не глупы и постоянно изобретают новые уловки, чтобы обойти средства защиты: GCMan, например, задействует ряд скриптов PowerShell, чтобы запутать разные реализации запрета по умолчанию, так что дополнительные уровни безопасности тоже нужны.

Управление безопасностью входит в состав Kaspersky Endpoint Security для бизнеса , настоящего многоуровневого терминала безопасности, использующего множество постоянно совершенствующихся передовых технологий для защиты наиболее уязвимого элемента ИТ-сети — эндпойнта.

Конечно, одного предоставления множества мощных слоёв безопасности для конечных точек недостаточно. Спиэрфишинг, один из самых популярных методов первоначального заражения, делает обязательным внедрение надёжной системы защиты почты. Kaspersky Security для почтовых серверов сканирует входящие сообщения на предмет вредоносных вложений и URL, что значительно снижает шансы вредоносного ПО добраться до жертвы.

В свете вышеизложенного вы можете рассмотреть возможность заказать проактивную проверку вашей ИТ-инфраструктуры на предмет направленных атак. В свете вышеизложенного вы можете рассмотреть возможность заказать проактивную проверку вашей ИТ-инфраструктуры на предмет направленных атак. В нашем сервисе обнаружения целенаправленных атак [1] работают лучшие кибердетективы, использующие самые широкие возможности разведки в сфере кибербезопасности, для того чтобы раскрыть и помочь нейтрализовать даже самые сложные целевых атаки.

С незапамятных времен банковский бизнес был связан с риском кражи. Развитие технологий наделило преступников дополнительными возможностями, и в цифровую эпоху такие возможности превратились в дамоклов меч, занесённый над финансовыми институтами. Так что есть серьёзная причина доработать вашу стратегию ИТ-безопасности, не откладывая в долгий ящик.

Подробнее об этих грабителях банков читайте в этом посте на Securelist.

[1] Доступно только в ограниченном количестве регионов. Чтобы узнать о доступности в вашем регионе, пожалуйста, свяжитесь с менеджером «Лаборатории Касперского».

Советы