Большое банковское ограбление: APT-кампания Carbanak

Скачать полную версию отчета PDF (eng)

История Carbanak началась, когда украинский банк обратился к нам с просьбой о помощи в проведении криминалистического расследования. Кто-то таинственным образом крал деньги из банкоматов. Поначалу мы склонялись к версии, что это результат применения вредоносной программы Tyupkin. Однако, изучив жесткий диск банкомата, мы не нашли ничего, кроме довольно странных настроек VPN (была установлена сетевая маска 172.0.0.0).

Тогда мы расценили этот инцидент как рядовую вредоносную атаку. Однако несколько месяцев спустя одному из наших экспертов в три часа ночи позвонил аккаунт-менеджер и попросил срочно перезвонить по определенному номеру. На звонок ответил директор по безопасности российского банка. Одна из систем банка выдавала предупреждение об отправке данных с контроллера домена в Китайскую Народную Республику.

Прибыв на место, мы быстро обнаружили в системе вредоносное ПО. Мы написали пакетный скрипт для удаления вредоносной программы с зараженных компьютеров и выполнили его на всех компьютерах банка. Мы выполняли скрипт несколько раз – пока не убедились, что вредоносная программа удалена со всех машин. Естественно, мы сохранили вредоносные образцы – благодаря им мы и познакомились с Carbanak.

Modus Operandi

В ходе дальнейшего криминалистического анализа нам удалось определить точку первоначального заражения – это была адресная фишинговая рассылка, содержавшая вложение в формате CPL; при этом в других случаях заражения использовались документы Word с внедренными в них эксплойтами для известных уязвимостей. После выполнения шелл-кода в системе устанавливается основанный на коде Carberp бэкдор, который теперь известен под именем Carbanak. Он предназначен для шпионажа, кражи данных и удаленного управления зараженной системой.

После получения доступа к сети организации-жертвы злоумышленники в ручном режиме проводят разведку, пытаясь взломать нужные компьютеры (например, компьютеры администраторов) и применяя инструменты, обеспечивающие дальнейшее заражение компьютеров в сети. Другими словами, получив доступ к сети, они будут перескакивать с одного компьютера на другой, пока не найдут интересующий их объект. Выбор таких объектов меняется от атаки к атаке. Общее у них то, что каждый из них позволяет атакующим выводить денежные средства из финансовой организации, компьютеры которой заражены.

Стоящая за Carbanak группировка может не располагать информацией о тонкостях работы каждого из атакуемых банков, поскольку в разных организациях работа организована по-разному. Поэтому для того чтобы понять, как работает каждый конкретный банк, зараженные компьютеры использовались для записи видеоматериала, который затем отправлялся на командные серверы. Несмотря на относительно низкое качество видеозаписи, она позволяла злоумышленникам, в распоряжении которых были также данные, собранные на тех же компьютерах с помощью кейлоггеров, понять, что делала жертва. Это давало атакующим возможность получить информацию, достаточную для организации вывода средств.

Пути вывода средств

В ходе расследования мы обнаружили, что вывод средств осуществлялся несколькими способами:

  1. Банкоматы получали – без непосредственного взаимодействия с ними злоумышленников – удаленную команду на выдачу наличных. После этого выданные деньги забирали «денежные мулы».
  2. Деньги переводились из финансовой организации на счета киберпреступников через сеть SWIFT.
  3. В базы данных, содержащие информацию о счетах, вносились изменения, позволяющие создать фальшивые счета с относительно высоким балансом, после чего средства забирали «денежные мулы».

Carbanak_1_ru

Заражения и убытки

С самого начала расследования этой вредоносной кампании мы работали в тесном сотрудничестве с правоохранительными органами, отслеживающими деятельность группировки Carbanak. Благодаря этому мы знаем, что в результате деятельности группировки пострадало около 100 финансовых организаций. Как минимум в половине случаев преступникам удалось вывести денежные средства из зараженных организаций. Убытки каждого из банков составляют от 2,5 примерно до 10 миллионов долларов. При этом, согласно информации, предоставленной правоохранительными органами и самими жертвами, суммарные убытки могут достигать миллиарда долларов, что делает Carbanak самой успешной известной нам киберпреступной кампанией.

Наше расследование, начавшись на Украине, затем переместилось в Москву; и большинство жертв вредоносной кампании оказалось в Восточной Европе. При этом из данных KSN, а также данных, полученных с командных серверов, нам известно, что кампания Carbanak нацелена также и на организации в США, Германии и Китае. Сейчас группировка расширяет географию своей деятельности, включая в нее новые зоны. В их число, в частности, входят Малайзия, Непал, Кувейт, а также некоторые регионы Африки.

Группировка по-прежнему активно действует, и мы призываем все финансовые организации тщательно проверить свои сети на присутствие Carbanak. В случае обнаружения немедленно сообщите об этом в правоохранительные органы.

Carbanak_2_ru

Детальное описание вредоносной кампании, а также индикаторы заражения и список стран вы можете найти в нашем подробном отчете.

Для проверки вашей сети на предмет заражения Carbanak вы можете использовать open IOC файл с индикаторами, который доступен здесь.


Часто задаваемые вопросы

Что такое Carbanak?

Carbanak – это имя, которым мы обозначаем кампанию в стиле APT, нацеленную на финансовые организации (но не только на них). Главное отличие Carbanak от других APT-атак состоит в том, что в данном случае главная цель злоумышленников – получение не данных, а денег. Мы говорим, что это атака в стиле APT (Advanced Persistent Threat – целевые продолжительные атаки повышенной сложности); однако о повышенной сложности в данном случае можно говорить лишь с натяжкой. Строго говоря, главная отличительная черта кампании – продолжительность.

Мы дали бэкдору имя Carbanak, потому что он основан на коде Carberp и имя его файла конфигурации – anak.cfg.

Каковы цели этой вредоносной кампании?

Злоумышленники проникают в сеть организации-жертвы и ищут критически важную систему, с помощью которой из организации можно вывести денежные средства. Украв у организации значительную сумму (от 2,5 до 10 млн долларов), злоумышленники оставляют жертву в покое.

Почему вы считаете эту угрозу значительной?

Банковские учреждения всегда были важнейшими объектами для атак киберпреступников. Однако почти всегда непосредственными объектами атак на банки становились их клиенты. В данном случае атакам злоумышленников подвергаются сами финансовые организации. Это беспрецедентная целенаправленная, профессионально организованная и продуманная кампания, использующая любые возможности для вывода из атакуемой организации максимального количества средств, причем максимум они, очевидно, установили для себя сами.

Что вы можете сказать о временных рамках кампании?

Исходя из имеющейся у нас информации, первые вредоносные образцы были скомпилированы в августе 2013 года, когда киберпреступники приступили к тестированию вредоносной программы Carbanak. Первые заражения были обнаружены в декабре 2013 года.

В среднем, на ограбление каждого из банков уходило от двух до четырех месяцев – от заражения первого компьютера в корпоративной сети банка до вывода средств.

Мы считаем, что первые успешные кражи средств, осуществленные этой группировкой, относятся к периоду с февраля по апрель 2014 года. Пик числа заражений был зафиксирован в июне 2014 года.

На данный момент кампания по-прежнему находится в активной фазе.

Почему вы до сих пор не публиковали сведений об этой кампании?

В процессе изучения этой кампании мы с самого начала сотрудничали с различными правоохранительными органами, занятыми в расследовании этой угрозы, и оказывали им всю помощь, какая была в наших силах. Поскольку расследование ведется до сих пор, нас просили не публиковать подробностей до тех пор, пока это не будет безопасно.

Связывались ли вы с жертвами и координационными центрами CERT (Computer Emergency Response Teams) в тех странах, где вы обнаружили заражения?

Да, это расследование превратилось в совместную операцию Глобального центра исследований «Лаборатории Касперского» (GReAT) и международных организаций, национальных и международных правоохранительных органов и нескольких центров CERT по всему миру.

Одной из наших важнейших целей было распространение информации об этой вредоносной кампании и индикаторах заражения среди известных и потенциальных жертв. В качестве канала распространения информации мы использовали национальные центры CERT и правоохранительные органы.

Какой вклад вы внесли в расследование?

Мы принимаем участие в расследованиях и контрмерах, препятствующих деятельности киберпреступников и функционированию вредоносного ПО. В процессе расследований мы обеспечиваем экспертную поддержку, такую как анализ векторов заражения, вредоносных программ, инфраструктуры командных серверов и методов эксплуатации уязвимостей.

Как распространялась вредоносная программа?

Злоумышленники проводили адресные рассылки электронных писем, содержащих вредоносные вложения, сотрудникам атакуемых финансовых учреждений, причем в некоторых случаях сообщения посылались на личные адреса. Мы считаем, что применялись также атаки типа drive-by download, однако последнее предположение нельзя считать на 100% обоснованным.

Каков потенциальный ущерб для жертв атак?

Исходя из сумм, украденных злоумышленниками, новые жертвы рискуют лишиться до 10 млн долларов. Однако эта сумма основана на имеющейся у нас информации об уже осуществленных атаках – ничто не ограничивает потенциальный ущерб после того, как компьютеры в сети финансовой организации окажутся заражены.

Назовите жертв кампании. Каков ее масштаб?

Жертвы – это прежде всего организации в финансовом секторе; при этом мы обнаружили следы заражения в кассовых терминалах и PR-агентствах. Чтобы получить представление о масштабах кампании изучите, пожалуйста, графики и карты, представленные в нашем отчете.

Как и во многих других вредоносных кампаниях, анализом данного вредоносного ПО занимаются разные компании и отдельные специалисты, в ходе работы которых командный сервер получает запросы. При анализе этих серверов все, что мы видим, – это IP-адреса и только иногда – кое-какие дополнительные данные. Когда дополнительные данные отсутствуют, а по IP-адресу невозможно определить его владельца, мы трактуем это как заражение.

Результаты нашего анализа, основанного на описанном выше подходе, говорят о том, что больше других стран от атак пострадали Россия, США, Германия и Китай.

Как корпоративные пользователи могут защититься от подобных атак? Защищает ли «Лаборатория Касперского» своих пользователей?

Да, мы детектируем образцы Carbanak как Backdoor.Win32.Carbanak и Backdoor.Win32.CarbanakCmd.

Все корпоративные продукты и решения «Лаборатории Касперского» детектируют известные образцы Carbanak. Чтобы повысить уровень защиты, рекомендуется включить модуль проактивной защиты, входящий в состав всех современных продуктов и решений «Лаборатории Касперского».

Мы также можем предложить несколько общих рекомендаций:

  • Не открывайте подозрительные электронные письма, особенно если они содержат вложения.
  • Своевременно устанавливайте обновления ПО (в этой кампании не использовались угрозы нулевого дня).
  • Включите эвристическое обнаружение угроз в своих комплексных защитных решениях – это повысит вероятность обнаружения и блокирования новых образцов вредоносного ПО.

Постинги на схожие темы 

Всего комментариев: 3
  1. Дмитрий

    Могли ли современные корпоративные средства защиты от ЛК нейтрализовать угрозу? Речь не о том, что сейчас всё детектируется, а на тот момент.

  2. Анна

    То, что случилось во Владивостоке — массовая кража денег с 200 или более карт клиентов СБ, это действие Carbanak?

  3. Евгений

    Какими методами банкам защищаться от подобных краж. Мне кажеться простой продукт ЛК не сможет предупредить такое…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *