|
През февруари тази година ви съобщихме за разкриването на мащабна кампания на киберпръстъпна организация, насочена към финансови институции в различни страни (в началото към Германия, Русия и САЩ, а впоследствие към други страни - основно от Азия).Carbanak, каквото име дадоха на кампанията и малуера (ползващ за основа кода на Carberp), използван в атаките, беше разкрита първо от страна на руската компания за доставяне на услуги, продукти и анализ в областта на информационната и интернет защита "Касперски". Самата кампания е сходна с типична шпионска APT (advanced persistent threat) атака, което не е обичайно, когато става дума за атака с цел кражба на финансови средства. Това, което кара специалистите да я определят като APT се крие във факта, че цел на киберпрестъпната група е била да остане в мрежите и системите на атакуваните организации възможно по-дълго, като през това време са източвали сметки на банката - от 2 до 10 милиона от институция. Това, което различава Carbanak от типичните APT атаки обаче е, че в нея не са използвани особено сложни инструменти (изходният код на троянската програма Carberp изтече в Интернет преди време) и цел не е бил кибершпионаж, както обикновено е във високопрофилните APT атаки. Киберпрестъпниците са започвали атаките си с помощта на методи от социалното инженерство и имейл с прикачен зловреден файл. След първоначалното инфектиране на системата, престъпниците са доставяли още малуер, след което са започвали да изучават начина на функциониране на организацията, разучавайки подробно мрежите и системите, като са оставали в сянка в продължение на месеци. Кампанията е стартирала през 2013 г. и според "Касперски" тя продължава и в момента, а общата сума, която престъпниците са извлекли от институциите вероятно достига един милиард долара, което кара "Касперски" да я определят като най-голямата подобна кражба.След разкритието за кампанията, медии и специалисти по инфозащита обърнаха поглед към новината, като едни от тези специалисти са хората от Trend Micro. Публикация от тази седмица в блога на компанията доставя любопитна новина също. Те са успели да проследят командните сървъри, използвани в атаката, като един адрес им направил силно впечатление. Защо? Защото той отвеждал към Москва, и по-точно към система на руската Федерална служба за безопасност - "руското ФБР".Максим Гончаров, старши изследовател по сигурността към Trend Micro, автор на публикацията в блога на компанията, изказва своето недоумение от това разкритие, чудейки се дали става дума за шега от страна на организаторите на кампанията или нарочно подвеждане на разследващите инцидентите."Вчера, докато проверявах данните доставени от индикатора на компрометиране ( indicator of compromise, IOC) от доклада за Carbanak, когато забелязах, че домейновото име на systemsvc.net (който бива идентифициран като контролен сървър в доклада) в момента сочи към IP адреса 213.24.76.23. Когато проверих информацията, открих, че въпросният адрес принадлежи към ASN AS8342 RTCOMM-AS OJSC RTComm.RU и бива идентифициран като локация в град Москва и сочи към ресурс, принадлежащ на Федералната служба за безопасност на Русия", пише Гончаров.Разкритието на Trend Micro представлява поредно потвърждение за нарастващите възможности на киберпрестъпници за скриване на своето присъствие, правейки често невъзможно проследяването на реалното им местоположение и тяхното залавяне, а с това и спиране на престъпните им дейности. |
|
