Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0

Введение

В конце 2014 года исследователи Лаборатории Касперского предостерегали: киберпреступники, целью которых являются финансовые операции, для ограбления банков будут использовать сложные тактики и технологии, характерные для атак серии APT.

Всего лишь несколько месяцев спустя в феврале 2015 мы объявили об обнаружении Carbanak ― криминальной группировки, которая использовала вредоносное ПО и APT-техники, чтобы украсть миллионы долларов, заразив при этом сотни финансовых организаций по меньшей мере в 30 странах.

С тех пор мы наблюдаем увеличение количества скрытых APT-атак, сочетающих использование разведки, социальной инженерии, специализированного вредоносного ПО, средств распространения и долгосрочного планирования кражи денег из финансовых организаций (в особенности, из банкоматов и систем денежных переводов).

На Security Analyst Summit (SAS 2016) «Лаборатория Касперского» объявила об обнаружении двух новых группировок, связанных с APT-ограблениями банков: Metel и GCMAN, ― и о возобновлении деятельности группировки Carbanak с новыми целями.

В 2015 году сотрудники «Лаборатории Касперского» провели расследование инцидентов в 29 организациях, расположенных в России и атакованных этими тремя группировками.

Так как правоохранительные органы продолжают расследования и в связи с соглашениями о неразглашении с пострадавшими организациями, «Лаборатория Касперского» не может предоставить подробные сведения об атаках. «Лаборатория Касперского» публикует ключевые индикаторы компрометации (IOCs) и другие данные, чтобы помочь организациям в поиске следов этих атакующих групп в своих корпоративных сетях (см. ниже).

Metel ― откат баланса при помощи банкоматов

Летом 2015 российский банк обнаружил пропажу миллионов рублей, произошедшую за одну ночь в результате серии странных финансовых операций. Клиенты банка осуществляли снятие денег через банкоматы, принадлежащие другим банкам, и имели возможность снять огромные суммы денег, но при этом баланс их счета не менялся. Пострадавший банк ни о чем не догадывался до тех пор, пока не стал компенсировать снятие денег через банкоматы других банков.

При проведении расследования мы выяснили, в чем дело ― Metel, модульная вредоносная программа, так же известная как Corkow.

Вредоносное ПО, используемое исключительно группировкой Metel, заражало банковскую корпоративную сеть через электронные письма и распространялась по банковской ИТ-системе, получая доступ к компьютерам.

Получив доступ к системе, управляющей денежными транзакциями, преступники настраивали автоматический откат транзакций, совершаемых через банкоматы. Это означает, что деньги могли быть украдены из банкоматов посредством дебетовых карт, и при этом баланс счета карты оставался неизменным, позволяя совершать несколько транзакций в разных банкоматах.

Зашифрованный конфигурационный файл вредоносных плагинов Metel

В ходе расследование мы выяснили, что злоумышленники разъезжали по городам России, снимая деньги через банкоматы, принадлежащие разным банкам. Вследствие выполнения автоматического отката, деньги мгновенно возвращались на счет сразу же после снятия наличных в банкомате. Группировка работала только по ночам, опустошая банкоматы в разных местах.

В целом мы обнаружили Metel в более, чем 30 финансовых организациях, но сотрудники «Лаборатории Касперского» смогли очистить сети до того, как был причинен серьезный ущерб. С большой вероятностью можно утверждать, что эта угроза намного более распространена, и мы настоятельно советуем финансовым организациям по всему миру просканировать сети на наличие признаков вредоносного ПО Metel.

Преступная группировка Metel все еще активна. В настоящий момент у нас нет информации о жертвах за пределами России.

GCMAN ― во всем виноваты средства тестирования системы на вторжения

Вторая группировка, которую мы называем GCMAN из-за того, что в основе вредоносного ПО лежит код, скомпилированный при помощи компилятора GCC, появилась недавно и использует похожие на Metel техники для заражения банковских организаций и перевода денег на сервисы криптовалют.

Первоначальное заражение выполняется посредством целевого фишинга финансовых организаций через электронные письма, содержащие вредоносный RAR-архив. При открытии RAR-архива вместо документа Microsoft Word запускается исполняемый файл, что вызывает заражение.

Попав в сеть, группировка GCMAN использует легальные технологии и средства для тестирования системы на проникновение, такие как Putty, VNC и Meterpreter, чтобы распространить заражение по сети. Наше расследование выявило атаку, при которой группа внедрила на банковский сервер cron-скрипт, отправляющий финансовые транзакции в размере 200$ в минуту. Планировщик каждую минуту вызывал скрипт, помещающий новые транзакции прямо в систему обработки платежей. Это позволяло группировке переводить деньги на разные сервисы криптовалют без оповещения других систем банка.

Декомпилированный код вредоносного ПО группировки GCMAN, осуществляющий подключение к серверу управления

По счастливой случайности финансовые организации вовремя обнаружили подозрительную активность сети, нейтрализовали угрозу и отменили транзакции.

Интересным является тот факт, что реальная атака произошла примерно на 18 месяцев раньше, чем она была обнаружена. Группировка использовала MS SQL инъекции в коммерческое ПО, использовавшееся на одном из публичных веб-сервисов банка, и спустя полтора года они вернулись, чтобы украсть деньги. В этот период времени было заражено 70 внутренних хостов, скомпрометировано 56 учетных записей с использованием 139 источников атак (TOR и скомпрометированные домашние маршрутизаторы).

Мы обнаружили, что примерно за 2 месяца до инцидента кто-то пытался подобрать пароль для учетной записи администратора банковского сервера. Они действовали очень настойчиво, но, чтобы остаться незамеченными, только три раза в неделю, а затем только по субботам.

Исследовательская команда Лаборатории Касперского ответила трем финансовым организациям в России, которые были заражены вредоносным ПО GCMAN. Вероятно, эта угроза намного более распространена, и мы настоятельно советуем банкам проверить сети на наличие признаков этой киберпреступной группировки.

Carbanak 2.0: новые цели помимо банков

После того, как мы раскрыли группировку Carbanak ровно год назад, она исчезла примерно на 5 месяцев, и мы думали, что группа распалась. Однако в сентябре прошлого года наши друзья из CSIS опубликовали запись в блоге, в которой подробно описывается новая разновидность атаки Carbanak, которой подвергся один из их покупателей.

В декабре 2015 мы подтвердили, что группировка все еще активна. «Лаборатория Касперского» обнаружила признаки Carbanak в двух случаях вторжения ― в телекоммуникационной компании и в финансовой организации.

Исполняемые файлы, обнаруженные в системе мониторинга вторжений в ходе расследования инцидента с Carbanak

Интересной особенностью группировки Carbanak 2.0 является то, что у них другой профиль жертв. Группа больше не интересуется банками, теперь их цели ― это бюджетные и бухгалтерские отделы любой интересующей их организации, при этом они используют те же средства и техники, характерные для APT-атак.

В одном примечательном деле злоумышленник Carbanak 2.0 использовал доступ к финансовой организации, в которой хранилась информация о держателях акций, чтобы изменить данные о владельцах большой компании. Информация о владельце компании была изменена на данные «дропа». Не понятно, как они хотели воспользоваться этой информацией в дальнейшем.

Продукты Лаборатории Касперского успешно детектируют и блокируют вредоносное ПО, используемое группировками Carbanak 2.0, Metel и GCMAN, под следующими именами:

• Trojan-Dropper.Win32.Metel
• Backdoor.Win32.Metel
• Trojan-Banker.Win32.Metel
• Backdoor.Win32.GCMan
• Backdoor.Win64.GCMan
• Trojan-Downloader.Win32.GCMan
• Trojan-Downloader.Win32.Carbanak
• Backdoor.Win32.Carbanak

Лаборатория Касперского настоятельно рекомендует всем организациям внимательно просканировать свои сети на предмет присутствия Carbanak, Metel и GCMAN и, в случае обнаружения, очистить системы/компьютеры/сети и сообщить о вторжении органам правопорядка.

Вся информация доступна для клиентов службы аналитических отчетов, они также получат индикаторы компрометации и контекстную информацию сразу же, как они станут доступными.

Файлы IOC доступны здесь:
Metel
GCMAN
Carbanak 2.0