Ξετυλίγοντας το κουβάρι μιας οικονομικής ψηφιακής επίθεσης

anti_theft

Μια ρωσική εταιρεία επικοινώνησε με την Kaspersky Lab, ζητώντας της να ερευνήσει ένα περιστατικό, όπου περισσότερα από $130.000 παραλίγο να κλαπούν από τον τραπεζικό της λογαριασμό. Οι εκπρόσωποι της εταιρείας υποπτεύτηκαν ότι πίσω από αυτό το περιστατικό κρυβόταν κάποιο κακόβουλο λογισμικό, με τους ειδικούς της Kaspersky Lab να το επιβεβαιώνουν από τις πρώτες κιόλας ημέρες της έρευνας.

  • Οι ψηφιακοί εγκληματίες «μόλυναν» τους υπολογιστές της εταιρείας, στέλνοντας ένα email που περιείχε ένα κακόβουλο συνημμένο αρχείο, το οποίο φαινόταν να προέρχεται από Δημόσια Οικονομική Υπηρεσία.
  • Για να αποκτήσουν απομακρυσμένη πρόσβαση στον υπολογιστή του λογιστή της εταιρείας, οι απατεώνες χρησιμοποίησαν μια τροποποιημένη έκδοση ενός νόμιμου προγράμματος.
  • Ένα κακόβουλο πρόγραμμα χρησιμοποιήθηκε για την κλοπή των χρημάτων. Το πρόγραμμα περιλάμβανε στοιχεία του τραπεζικού Trojan Carberp, του οποίου ο πηγαίος κώδικας είναι δημόσια διαθέσιμος.
  • Οι εγκληματίες έκαναν ένα λάθος κατά τη διαμόρφωση των Command & Control (C&C) servers τους, επιτρέποντας στους ειδικούς της Kaspersky Lab να ανακαλύψουν τις IP διευθύνσεις άλλων υπολογιστών που έχουν «μολυνθεί» και να προειδοποιήσουν τους ιδιοκτήτες τους για την απειλή.

Η τράπεζα που συνεργάζεται με την εταιρεία που βρέθηκε στο στόχαστρο, μπλόκαρε την απόπειρα να πραγματοποιηθεί η συναλλαγή των $130.000. Ωστόσο, οι ψηφιακοί εγκληματίες κατόρθωσαν να πραγματοποιήσουν με επιτυχία μια μεταφορά $8.000, δεδομένου ότι το ποσό αυτό ήταν πολύ μικρό για να προκαλέσει «συναγερμό» στην τράπεζα και δεν απαιτούταν πρόσθετη επιβεβαίωση από το λογιστήριο του πελάτη.

Τα εργαλεία που χρησιμοποίησαν οι ψηφιακοί εγκληματίες

Οι ειδικοί της Global Emergency Response Team της Kaspersky Lab έλαβαν από την εταιρεία μια εικόνα του σκληρού δίσκου του υπολογιστή που είχε δεχτεί επίθεση. Έπειτα από έρευνα, οι ειδικοί της Kaspersky Lab σύντομα εντόπισαν ένα ύποπτο email που είχε σταλεί στο όνομα της Δημόσιας Οικονομικής Υπηρεσίας, το οποίο ζητούσε την άμεση αποστολή κάποιων εγγράφων. Ο κατάλογος των απαιτούμενων εγγράφων βρισκόταν σε ένα συνημμένο έγγραφο Word. Το έγγραφο αυτό είχε «μολυνθεί» με ένα exploit πρόγραμμα που εκμεταλλευόταν την ευπάθεια CVE-2012-0158. Το πρόγραμμα ενεργοποιήθηκε μόλις έγινε το άνοιγμα του εγγράφου. Έπειτα, «κατέβασε» ένα άλλο κακόβουλο πρόγραμμα στον υπολογιστή του θύματος.

Στο σκληρό δίσκο του υπολογιστή που είχε προσβληθεί, οι ειδικοί εντόπισαν μια τροποποιημένη έκδοση ενός νόμιμου προγράμματος, το οποίο προσφέρει απομακρυσμένη πρόσβαση σε υπολογιστές. Τα προγράμματα αυτά χρησιμοποιούνται συνήθως από λογιστές ή από διαχειριστές πληροφοριακών συστημάτων. Ωστόσο, η έκδοση του προγράμματος που εντοπίστηκε στον υπολογιστή, είχε τροποποιηθεί έτσι, ώστε να αποκρύπτεται η παρουσία του στο «μολυσμένο» σύστημα. Τα προϊόντα της Kaspersky Lab μπλοκάρουν αυτό το πρόγραμμα, το οποίο φέρει την κωδική ονομασία “Backdoor.Win32.RMS”.

Ωστόσο, αυτό δεν ήταν το μόνο κακόβουλο πρόγραμμα που εντοπίστηκε στον υπολογιστή του θύματος. Περαιτέρω έρευνα έδειξε ότι ακόμα ένα backdoor (Backdoor.Win32.Agent) είχε «κατέβει» στον υπολογιστή, με τη βοήθεια του Backdoor.Win32.RMS. Οι ψηφιακοί εγκληματίες το χρησιμοποίησαν για να αποκτήσουν απομακρυσμένη Virtual Network Computing πρόσβαση στον υπολογιστή. Αξίζει να σημειωθεί ότι στοιχεία του τραπεζικού Trojan Carberp εντοπίστηκαν στον κώδικα του Backdoor.Win32.Agent. Ο πηγαίος κώδικας του Carberp είχε δημοσιευτεί νωρίτερα μέσα στη χρονιά.

Αφού απέκτησαν τον έλεγχο του υπολογιστή, οι ψηφιακοί εγκληματίες δημιούργησαν μια παράνομη εντολή πληρωμής στο απομακρυσμένο τραπεζικό σύστημα. Για να επαληθεύσουν την εντολή, χρησιμοποίησαν τη διεύθυνση IP του υπολογιστή του λογιστή, η οποία θεωρήθηκε αξιόπιστη από την τράπεζα. Αλλά πώς οι ψηφιακοί εγκληματίες πήραν στα χέρια τους τους κωδικούς που χρησιμοποιούνται από το λογιστή για συναλλαγές; Οι ειδικοί συνέχισαν την έρευνά τους και εντόπισαν ένα ακόμη κακόβουλο πρόγραμμα, το Trojan-Spy.Win32.Delf. Αυτό ήταν το keylogger που υπέκλεψε τα δεδομένα που εισάγονταν από το πληκτρολόγιο. Με αυτόν τον τρόπο, οι ψηφιακοί εγκληματίες απέσπασαν τον κωδικό πρόσβασης του λογιστή και ήταν σε θέση να προχωρήσουν στην παράνομη συναλλαγή.

attack_malware

Επιπλέον θύματα

Όταν η έρευνα βρισκόταν κοντά στο τελικό της στάδιο, οι ειδικοί της Kaspersky Lab ανακάλυψαν ένα ακόμα περίεργο γεγονός. Η διαχείριση όλων των κακόβουλων προγραμμάτων που εμπλέκονταν στην επίθεση, γινόταν από C&C servers, των οποίων οι διευθύνσεις IP ανήκαν στο ίδιο υποδίκτυο. Κατά την υλοποίηση του υποδικτύου, οι ψηφιακοί εγκληματίες υπέπεσαν σ’ ένα σφάλμα που επέτρεψε στους ειδικούς της Kaspersky Lab να ανακαλύψουν τις διευθύνσεις IP κι άλλων υπολογιστών που είχαν «μολυνθεί» με το Trojan-Spy.Win32.Delf. Στις περισσότερες περιπτώσεις, αποδείχτηκε ότι οι υπολογιστές αυτή ανήκουν σε μικρές και μεσαίες επιχειρήσεις. Η Kaspersky Lab ήρθε αμέσως σε επαφή με τους ιδιοκτήτες των «μολυσμένων» υπολογιστών και τους προειδοποίησε για την απειλή.

Σύμφωνα με τον Mikhail Prokhorenko, αναλυτή malware της Global Emergency Response Team της Kaspersky Lab

“Από τεχνική σκοπιά, δεν μπορούμε να πούμε ότι το περιστατικό αυτό αποτελεί παράδειγμα επίθεσης που εστιάζει σε μια συγκεκριμένη χώρα, παρότι σημειώθηκε στη Ρωσία. Στην πραγματικότητα, αυτό το είδος ψηφιακού εγκλήματος διαφέρει ελάχιστα από χώρα σε χώρα. Σε όλο τον κόσμο, οι περισσότερες επιχειρήσεις χρησιμοποιούν εκδόσεις των Windows και του Microsoft Office, στις οποίες ενδεχομένως να υπάρχουν ευπάθειες που δεν έχουν αντιμετωπιστεί με κάποιο patch. Επίσης, είναι πολύ μικρές οι διαφορές στον τρόπο αλληλεπίδρασης μεταξύ των οικονομικών τμημάτων και των τραπεζών. Αυτό κάνει πιο εύκολη τη δουλειά των ψηφιακών εγκληματιών που στόχο έχουν να κλέψουν χρήματα μέσω απομακρυσμένων τραπεζικών συστημάτων”

Για τη μείωση του κινδύνου κλοπή χρημάτων από online τραπεζικούς λογαριασμούς, οι ειδικοί της Kaspersky Lab συμβουλεύουν τις επιχειρήσεις που χρησιμοποιούν αυτά τα συστήματα, να υιοθετήσουν αξιόπιστες και πολυπαραγοντικές πιστοποιήσεις (π.χ. χρήση ειδικών αποδεικτικών, passwords μιας χρήσης που παρέχονται από την τράπεζα κλπ.).

Επίσης, συνιστάται η άμεση και τακτική ενημέρωση του λογισμικού που είναι εγκατεστημένο στους εταιρικούς υπολογιστές (αυτό είναι ιδιαίτερα σημαντικό για τους υπολογιστές που χρησιμοποιούνται στις οικονομικές διευθύνσεις), η εγκατάσταση λύσεων ασφάλειας, η εκπαίδευση των εργαζόμενων γύρω από τα σημάδια των επιθέσεων και η άμεση ανταπόκριση απέναντι σε τέτοια περιστατικά.

Περισσότερες πληροφορίες για το περιστατικό και την έρευνα της Kaspersky Lab είναι διαθέσιμες στο άρθρο του Mikhail Prokhorenko, στο Securelist.com.

This entry was posted in Internet, Misc and tagged . Bookmark the permalink.