Očami Nethemby: Veľká banková lúpež - Nethemba

BLOG

Očami Nethemby: Veľká banková lúpež

2015-02-17 22:19 Pavol Lupták

Spoločnosti Kaspersky Labs sa podarili dva husárske PR kúsky svetového charakteru – odhalili a zdokumentovali jednu z najväčších bankových online lúpeží (obeťou bolo vraj až 100 bankových inštitúcii a odhadované škody boli v celkovej sume až jednu miliardu dolárov) ako aj identifikovali skupinu Equation a jej vysoko sofistikované malware nástroje.

Sumarizácia masívnej bankovej lúpeže je v nasledujúcom videu

Detaily boli popísané v nasledujúcom dokumente a prípad bol slušne pokrytý aj slovenskými mediámi – Hackeri masívne útočili na banky. Ukradli miliardu dolárov, Banky na Slovensku vraj nezaznamenali „miliardový” útok hackerovVeľká lúpež: Kybergang ukradol miliardu dolárov, Skontrolujte si účty. Bankoví hackeri ukradli milióny cez škodlivý softvér, Hackerský gang ukradol z bánk miliardu dolárov, Hackeri okradli banky o miliardu dolárov, Veľká lúpež: Hackeri ukradli bankám po celom svete vyše miliardy dolárov. Naše zostrihané vyjadrenie pre Markízu.

Rád by som zosumarizoval pár kľúčových bodov k samotnej “Veľkej bankovej lúpeži”.

1. Najslabší článok sú, boli a budú ľudia.

Malware Carbanak sa medzi zamestnancami baniek šíril úplne triviálnym spôsobom – pomocou “spearphishingu” ako špeciálne upravený wordovský Word97-2003 dokument (.doc) a ako Control Panel Applet (.cpl). Uvedené prílohy využívali známe chyby Microsoft Office 2003, 2007 a 2010 (CVE-2012-0158 a CVE-2013-3906) a Microsoft Wordu (CVE-2014-1761).

Áno, zamestnanci dotknutých baniek tieto súbory reálne otvárali na svojich neaktualizovaných verziách Wordu/Officeu, následkom čoho sa stali obeťami počítačovej infekcie.

Rád by som zdôraznil, že vytvoriť takýto spustiteľný malware je relatívne jednoduché ako aj docieliť, aby bol obfuskovaný, teda neodhaliteľný verejne dostupnými antivírmi (pri našich testoch sociálneho inžinierstva to bežne realizujeme).

Na strane baniek očividne zlyhal globálny “patch management” a bezpečnostné povedomie ich zamestnancov o otváraní potenciálne nebezpečných príloh bolo nedostatočné.

Spustenie takéhoto malwareu obvykle znamená pre útočníka plné získanie kontroly nad počítačom obete a jej kompletné monitorovanie (všetkých kláves, pohybov myšky, akejkoľvek komunikácie a pod).

V prípade Carbanak malware-u stojí za zmienku to, že dokázal natáčať videa a robiť pravidelné screenshoty (každých 20 sekúnd) svojich obetí, čo umožnilo útočníkom detailne sa naučiť imitovať ich správanie.

2. Impersonifikácia

Kľúčový prvok celého útoku bola impersonifikácia, teda vydávanie sa za zamestnancov banky, ktorých správanie bolo dopredu identifikované a natočené malwareom, vďaka čomu útočníci dokázali obísť rôzne mechanizmy na detekciu podvodov a realizovať množstvo citlivých operácií (zakladať bankové účty, realizovať prevody apod).

Impersonifikácia je metóda, ktorú využívame tiež napríklad pri caller ID spoofing telefonickom sociálnom inžinierstve, ktoré je skutočne veľmi účinné.

3. Menej je niekedy viac

Podvrhnuté prevody boli vždy v celkovej sume menej ako 10 miliónov dolárov. Najpravdepodobnejším dôvodom bolo vyhnúť sa anti-fraud detekčným mechanizmom a vyšetrovacím tímom. Táto metóda sa v IT bezpečnosti nazýva tiež “salámový útok“, kedy útočník realizuje veľké množstvo malých transakcií v relatívne veľkom časovom úseku s cieľom vyhnúť sa detekcii.

4. Bankomaty ako cesta k anonymite

Akékoľvek online bankové transakcie sú monitorované a prakticky na celom svete vlastníci bežných bankových účtov sú vystopovateľní. Útočníci, ktorí využívali Carbanak malware, mali viacero možností ako vybrať peniaze z falošne vytvorených bankových účtov. Primárne sa rozhodli zrejme pre tú najpriamočiarejšiu možnosť – výber peňazí v dohodnutom čase v obmedzenom množstve z veľkého množstva dopredu ťažko identifikovateľných bankomatov. Druhú alternatívu predstavovali prevody na ďalšie ťažšie vystopovateľné účty využitím SWIFT.

Zhrnutie

Úspech súčasných malwareov osobne nevidím v ich technickej dokonalosti, ale v schopnosti efektívne využívať a adresovať prvky sociálneho inžinierstva (v tomto prípade to bol starý a účinný spearphishing). Vďaka tomu dokážu byť extrémne účinné i v situácii, keď sa obeťou stane čo i len jeden zamestnanec finančnej inštitúcie.

Elegancia samotnej bankovej lúpeže teda nespočívala v nových technických postupoch, či sofistikovaných nástrojoch, ale v starostlivom plánovaní samotného útoku a hĺbkovej analýze obetí.