Schemat działania zaawansowanych zagrożeń trwałych (APT): nowa jakość wglądu w zagrożenia finansowe

W toku nowego dochodzenia kryminalistycznego firma Bitdefender ujawniła pełną oś czasu ataku i zachowania znanej grupy cyberprzestępców finansowych, działającej pod nazwą Carbanak.

W połowie 2018 roku badacze firmy Bitfender przeanalizowali ukierunkowany atak, którego ofiarą padła wschodnioeuropejska instytucja finansowa. Dzięki temu zdołali uzyskać nową wiedzę i odtworzyć kompletną oś czasu wydarzeń. Udało im się ustalić to, w jaki sposób niesławna grupa Carbanak infiltruje organizacje, jak porusza się poziomo po infrastrukturze i jakiej ilości czasu potrzebuje na przeprowadzenie ostatecznego ruchu.

Podczas gdy większość dochodzeń kryminalistycznych koncentruje się na ściśle technicznej analizie obciążeń wykorzystywanych przez grupę Carbanak, firma Bitdefender zdołała odtworzyć pełną oś czasu ataku — od momentu dotarcia wiadomości e-mail do skrzynki odbiorczej, aż do samego przejęcia środków.

Grupa Carbanak przeprowadza jedne z najbardziej skutecznych ataków wykorzystujących zaawansowane zagrożenia trwałe (ang. APT — advanced persistent threat), obierając za cel przede wszystkim sektor finansowy. Wykryta w 2014 r. kampania szybko zyskała rozgłos po naruszeniu systemów bezpieczeństwa 100 banków w 40 krajach i przejęciu łącznej kwoty sięgającej miliarda dolarów. Celem ataków wykorzystujących spear-phishing (wiadomości e-mail zachęcające odbiorców do klikania złośliwych adresów URL i otwierania dokumentów zawierających złośliwy kod) padły prawdopodobnie banki w takich krajach jak Rosja, Wielka Brytania, Holandia, Hiszpania, Rumunia, Białoruś, Polska, Estonia, Bułgaria, Gruzja, Mołdawia, Kirgistan, Armenia, Tajwan i Malezja.

Nagradzany antywirus Bitdefender

Bitdefender Internet Security zapewnia najlepszą ochronę przed zagrożeniami internetowymi, bez spowolniania zasobów systemu. Został okrzyknięty Produktem Roku przez AV-Comparatives i nagrodzony przez AV-TEST za Najlepszą Ochronę i Najlepszą Wydajność.

Bitdefender Internet Security:zobacz więcej

Uważa się, że ta sama grupa stosowała również ramy Cobalt Strike do prowadzenia wyrafinowanych kampanii, planowania spisków i przeprowadzenia ataków na instytucje finansowe. W następstwie dochodzenia prowadzonego przez organy ścigania, we współpracy z firmami zajmującymi się bezpieczeństwem cybernetycznym, 26 marca 2018 r. lider grupy został zatrzymany w Alicante na terenie Hiszpanii.

Analiza kryminalistyczna firmy Bitdefender ujawniła kluczowe taktyki łamania zabezpieczeń:

• Głównym celem ataków grupy są wschodnioeuropejskie instytucje finansowe, a główny wektor ataku stanowi spear-phishing.
• Głównym dowodem na to, że dana instytucja padła ofiarą ataku Carbanak, jest obecność narzędzi hakerskich Cobalt Strike.
• W fazie rozpoznania gromadzono dane związane z aplikacjami bankowymi i procedurami wewnętrznymi, a następnie przygotowywano je do eksfiltracji w celu wykorzystania w końcowej fazie ataku.
• Rozpoznanie infrastruktury prowadzono w głównej mierze po godzinach pracy lub w weekendy, aby uniknąć wyzwalania alarmów bezpieczeństwa.
• Przestępcy potrzebowali zaledwie kilku godzin od momentu pierwszego udanego kontaktu, aby uzyskać dostęp do systemów i możliwość poruszania się po nich w poziomie, co dowodzi ich znacznego doświadczenia, wiedzy i koordynacji.
• Ostatecznym celem ukierunkowanego ataku było naruszenie bezpieczeństwa sieci bankomatów w celu potencjalnej wypłaty gotówki, która następowała w ramach operacji przestępczej skoordynowanej na płaszczyźnie fizycznej i  infrastrukturalnej.

Chcesz wiedzieć więcej? Pobierz pełny raport poniżej: