У наприкінці 2015 року Центр глобальних досліджень та аналізу (GReAT) зробив ряд пророкувань про ситуацію з ІТ-безпекою в наступають 2016 році. Звичайно, ці прогнози давалися не навмання і не були ворожіннями на кавовій гущі: вони грунтувалися на даних постійних спостережень за глобальною ландшафтом загроз і безперервних дослідженнях.

Щоб проілюструвати це, ми поговоримо про три неординарних кіберкражах: двох здійснених абсолютно новими для нас суб'єктами і ще одним діянням старого знайомого.

Але давайте почнемо з першого.

Metel: відкат вкрадених грошей

Влітку 2015 року наша Команда швидкого реагування отримала сигнал від одного російського банку. Ті, хто телефонував повідомили про втрату грошей через загадкові фінансових операцій, джерела яких вони не змогли відстежити. Фахівці «Лабораторії Касперського» відреагували швидко і змогли знайти причину: шкідливу програму на базі добре відомого трояна Corkow, який ми назвали Metel ( «Заметіль» по-російськи - О.Г.). В ході слідства була розкрита операція кібепреступніков, які використовували інноваційну технологію, яка дозволяла їм вільно підключатися до сховищ купюр в громадських банкоматах багатьох банків, які вони потім об'їжджали вночі на автомобілі. Списання коштів, проведені з використанням власних пластикових карт скомпрометованого банку, автоматично восполнялись через зламаний інтерфейс зараженої машини центру підтримки. Подальші дослідження показали, що оператори Metel здійснили первинну інфекцію за допомогою спеціально створених спіерфішінгових листів зі шкідливими вкладеннями і за допомогою набору експлойтів Niteris, спрямованих на уразливості в браузері жертви.

Продемонструвавши, що запуск успішної спрямованої атаки не обов'язково вимагає написання безлічі шкідливих модулів, зловмисники використовували легітимні інструменти тестування на проникнення, в тому числі Mimikatz, щоб роздобути облікові дані адміністратора, заманивши його на заражені машини шляхом відключення довільних програм.

Права адміністратора сильно полегшили зловмисникам завдання з пошуку обхідних шляхів, захоплення локального контролера домену, і в кінцевому підсумку вони зуміли знайти і взяти під управління комп'ютери підтримки.

Після зробленого відкриття «Лабораторія Касперського» виявила шкідливу Metel в ІТ-мережах ще кількох банків. На щастя, вдалося вичистити інфекцію до нанесення серйозного збитку. Проте, є підстави підозрювати, що дана інфекція поширилася набагато ширше, тому банкам по всьому світу рекомендували провести проактивний перевірку на зараження з використанням наданих індикаторів компрометації (ІК) або звернутися до фахівців «Лабораторії Касперського» для більш ретельного пошуку.

GCMan: Пінгуя гроші

Ще один банк, що зв'язався з аварійною бригадою «Лабораторії Касперського», заявив про витік еквівалентної $ 200 суми в хвилину через невстановлений канал. Наші кібердетектіви досліджували «місце злочину» і знайшли шкідливу програму, що зачаїлася серед кількох законних інструментів тестування на проникнення (в тому числі Putty, VNC і Meterpreter). Шкідливе ПО було скомпільовано з використанням Linux-компілятора GCC - звідси і прізвисько GCMan. Використовуючи методи, дуже подібні з дією Metel, GCMan закріплювався всередині периметра безпеки банку за допомогою спіерфішінгових листів і шкідливих вкладень. Потім він досліджував мережу, знаходив сервер, який відповідає за фінансові операції, і створював працював за графіком скрипт, який починав посилати 200-доларові «пінг» кільком системам електронних платежів без звіту про проведення транзацкій, що не проворціруя ніяких сигналів тривоги.

Удача і допомогу фахівців «Лабораторії Касперського» дозволили банку виявити підозрілу мережеву активність, знайти і анулювати небажані операції. І все-таки варто зауважити, що початкове зараження відбулося більш ніж за півтора року до початку «пингования грошей». Протягом довгого часу зловмисники ніяк себе не проявляли, поступово розширюючи контроль над мережею і вибудовуючи основу для подальшої злочинної операції. 70 хостів і 56 акаунтів були скомпрометовані за допомогою, в цілому, 139 допоміжних джерел атаки (включаючи мережу Tor і скомпрометовані SOHO-маршрутизатори).

Ще кілька фінансових організацій зв'язалися з «Лабораторією Касперського» з приводу інцидентів, які, як згодом виявилося, пов'язані з GCMan. Однак є підстави припускати, що проникнення було набагато ширшим, так що не соромтеся влаштовувати проактивний перевірку на показники вторгнення. GCMan може довго запрягати, зате здатний почати викачувати кошти в будь-який час.

Carbanak 2,0: розширюючи межі злочину

Ті хлопці, які змусили посивіти багатьох банкірів, вкравши, в цілому, близько $ 1 млрд в минулому році , Повернулися! Після першої операції вони пішли в тінь на кілька місяців, але у вересні 2015 року, наші колеги з CSIS виявили новий штам їх шкідливого коду в ході розслідування одного інциденту. У грудні 2015 року фахівці Центру глобальних досліджень та аналізу «Лабораторії Касперського» підтвердили, що група як і раніше активна, незважаючи на всі чутки про відхід на спокій. В рамках нової серії операцій вони розширили список своїх мішеней, націлившись на бухгалтерські та бюджетні підрозділи в широкому спектрі компаній. В одному випадку вони навіть намагалися підробити інформацію, підтвердивши, що їх спільником був один з акціонерів підприємства. Залишається неясним, як вони собірасліь скористатися цією інформацією в майбутньому.

Первісна серія нападів Carbanak відрізнялася широким використанням легітимних інструментів і навіть вбудованих адміністративних інтерфейсів для досягнення цілей. Друга ітерація була схожою: крім поновлення свого бекдор-модуля, злочинці використовували інструменти тестування на проникнення, такі як Meterpreter і ряд законних засобів віддаленого адміністрування, в тому числі той же Ammyy Admin, який був використаний під час їх першої появи.

Менше шкідливого: більше легітимного ПО плюс велике тестування

Ці три випадки яскраво ілюструють важливу тенденцію в підході до проведення спрямованих атак. Навіщо писати багато спеціальних шкідливих програм, коли законні утиліти можуть бути настільки ж ефективними і викликають менше підозр? Необхідної ефективності можна досягти за допомогою тестування технології на симулякр системи ІТ-безпеки передбачуваної мети і подальшої підстроювання схеми атаки. Така ситуація заслуговує додаткової уваги до вашого поточного стану безпеки: деякі аспекти, безумовно, треба переглянути.

Рішення проблеми

Перше, що потрібно зробити з урахуванням сказаного вище, - це переглянути схему спрацьовування тривожного сигналу від різних типів «потенційно небезпечного ПО», такого як інструменти віддаленого адміністрування: вони вимагають особливої ​​уваги. Але, звичайно, тільки цього не достатньо. Згідно з комплексною Стратегії протидії Управління радіотехнічної оборони Австралії , Дозвіл запуску програми з використанням «білого списку» є одним з чотирьох пріоритетних підходів, ефективним в 85% зареєстрованих порушень безпеки, пов'язаних з цілеспрямованими атаками. У разі фінансових установ ціна злому може бути неймовірно висока: крім самого грошового питання, під загрозою можуть опинитися сотні тисяч наборів даних клієнтів. Так що цілком заслуговує розгляду встановлено заборону за замовчуванням щодо контролю додатків для всіх тих робочих станцій, які виконують лише обмежену кількість завдань - у операторів клієнтської підтримки або на ПК бухгалтерів, наприклад. Це ставить перешкоджає запуску більшості шкідливих програм на файлової основі, залишаючи можливість виконання тільки програм з «білого списку». Встановлення політики доступу в інтернет ще більше знижує ризик: від багатьох робочих станцій і не потрібно можливість перегляду веб-сторінок, а іншим можна обмежити доступ лише до найбезпечніших веб-ресурсів за допомогою веб-контролю. А контроль пристроїв обмежить використання портативних сховищ, які можуть служити як в якості векторів інфекції, так і кошти витоку даних.

Але навіть такі потужні технології як «білі списки» і заборона за замовчуванням не можуть вважатися панацеєю. Зловмисники не дурні і постійно винаходять нові хитрощі, щоб обійти засоби захисту: GCMan, наприклад, задіє ряд скриптів PowerShell, щоб заплутати різні реалізації заборони за замовчуванням, так що додаткові рівні безпеки теж потрібні.

Управління безпекою входить до складу Kaspersky Endpoint Security для бізнесу , Справжнього багаторівневого терміналу безпеки, що використовує безліч постійно удосконалюються передових технологій для захисту найбільш уразливих елемента ІТ-мережі - ендпойнта.

Звичайно, одного надання безлічі потужних шарів безпеки для кінцевих точок недостатньо. Спіерфішінг, один з найпопулярніших методів початкового зараження, робить обов'язковим впровадження надійної системи захисту пошти. Kaspersky Security для поштових серверів сканує вхідні повідомлення на предмет шкідливих вкладень і URL, що значно знижує шанси шкідливого ПО дістатися до жертви.

Зважаючи на вищенаведене ви можете розглянути можливість замовити проактивний перевірку вашої ІТ-інфраструктури на предмет спрямованих атак. Зважаючи на вищенаведене ви можете розглянути можливість замовити проактивний перевірку вашої ІТ-інфраструктури на предмет спрямованих атак. У нашому сервісі виявлення цілеспрямованих атак [1] працюють кращі кібердетектіви, що використовують найширші можливості розвідки в сфері кібербезпеки, для того щоб розкрити і допомогти нейтралізувати навіть найскладніші цільових атаки.

З незапам'ятних часів банківський бізнес був пов'язаний з ризиком крадіжки. Розвиток технологій наділило злочинців додатковими можливостями, і в цифрову епоху такі можливості перетворилися на дамоклів меч, занесений над фінансовими інститутами. Так що є серйозна причина доопрацювати вашу стратегію ІТ-безпеки , Не відкладаючи в довгий ящик.

Детальніше про ці грабіжників банків читайте в цьому пості на Securelist .

[1] Доступно тільки в обмеженій кількості регіонів. Щоб перевірити наявність у вашому регіоні, будь ласка, зв'яжіться з менеджером «Лабораторії Касперського».