В феврале этого года в Мексике разорвалась информационная бомба, и ее взрывная волна несколько раз обогнула земной шар в средствах массовой информации. Причиной этой активности стало мероприятие Security Analyst Summit 2015, которое проходило в Канкуне, а точнее ряд докладов, проливших свет на технологичные APT, сочетающие в себе не используемые ранее технологии и неслыханную наглость.

О Security Analyst Summit 2015

Kaspersky Security Analyst Summit (SAS) — ежегодная конференция, которая собирает на своей площадке исследователей в индустрии информационной безопасности, разработчиков средств защиты, представителей CERT и правоохранительных органов со всего мира. В этом году SAS проходила в солнечном Канкуне (Мексика) и традиционно отметилась достаточно большим количеством поводов для СМИ.

 

APT на миллиард долларов

Весной 2014-го «Лаборатория Касперского» была вовлечена в криминалистическое расследование: банкоматы одного из банков выдавали деньги без физического взаимодействия получателя с банкоматом. Так началась история расследования кампании Carbanak и исследования одноименного вредоносного ПО.

Сергей Голованов, Питер Зинн и Сергей Ложкин рассказывают о расследовании Carbanak APT
Сергей Голованов, Питер Зинн и Сергей Ложкин рассказывают о расследовании Carbanak APT

Carbanak представляет собой бэкдор, изначально написанный на основе кода Carberp. Зловред предназначен для шпионажа, сбора данных и предоставления удаленного доступа на зараженный компьютер. После того как злоумышленники получали доступ к какой-нибудь машине, они проводили разведку сети на предмет дальнейшего распространения и заражения критически важных систем — процессинговых, бухгалтерских, а также банкоматов. Что интересно, разведку злодеи проводят в ручном режиме, пытаясь взломать нужные компьютеры (например, компьютеры администраторов) и применяя инструменты, обеспечивающие дальнейшее заражение компьютеров в сети. Другими словами, получив доступ к сети, они перескакивали с одного компьютера на другой, пока не находили интересующий их объект (и вот тут можно начать рассуждать о пользе услуги внутреннего пентеста). Выбор таких объектов изменялся от атаки к атаке, однако общим оставался результат: злодеям удавалось выводить деньги из финансовой организации.

Кража денежных средств в ходе Carbanak APT
Кража денежных средств в ходе Carbanak APT

Кроме того, стоящая за Carbanak группировка не всегда обладала информацией о тонкостях работы каждого из атакуемых банков, поскольку везде она организована по-разному. Поэтому, чтобы понять, как работает каждый конкретный банк, зараженные компьютеры записывали видеоматериал, который затем отправлялся на командные серверы. Несмотря на относительно низкое качество видеозаписи, она позволяла злоумышленникам, в распоряжении которых были также данные, собранные с помощью кейлоггеров, понять, что делала жертва. Это давало атакующим возможность получить информацию, достаточную для организации вывода средств.
В ходе расследования было обнаружено три способа вывода средств из финансовых организаций:

  • через банкоматы;
  • посредством перевода денег на счета киберпреступников через сеть SWIFT;
  • путем внесения изменений в базы данных с целью создания фальшивых счетов, которые потом обналичивались «мулами».

Заражения происходили типичным для APT образом — через целевые фишинговые атаки, в ходе которых рассылались письма, содержащие документ с эксплойтом. Письма были составлены так, чтобы не вызвать подозрений, и в некоторых случаях приходили с адресов сотрудников атакованной компании.

По оценкам «Лаборатории Касперского», от действий группировки пострадало около ста финансовых организаций, преимущественно в Восточной Европе, а суммарный ущерб может доходить до отметки в миллиард долларов, что делает Carbanak самой успешной в индустрии киберпреступной кампанией.

 

Великий уравнитель

Другим громким анонсом стал доклад о группировке Equation, занимающейся кибершпионажем. Она много лет взаимодействует с другими влиятельными группами, такими как Stuxnet и Flame. Атаки Equation на текущий момент, возможно, самые изощренные из всех известных инцидентов: один из модулей вредоносного ПО позволяет изменять прошивку жестких дисков. С 2001 года группировка Equation сумела заразить компьютеры тысяч жертв, находящихся в Иране, России, Сирии, Афганистане, США и других странах. Сфера деятельности жертв — правительственные и дипломатические учреждения, телекоммуникации, аэрокосмическая отрасль, энергетика и прочее.

Игорь Суменков, Сергей Минеев, Виталий Камлюк и Костин Райю рассказывают об Equation APT
Игорь Суменков, Сергей Минеев, Виталий Камлюк и Костин Райю рассказывают об Equation APT

Начиная с 2001 года, по данным «Лаборатории Касперского», группировка Equation сумела заразить по всему миру компьютеры тысяч, возможно даже десятков тысяч жертв, относящихся к следующим сферам деятельности:

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


Комментарии

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Что можно сделать с iPhone, зная пасскод. Как сливают данные, уводят iCloud и блокируют остальные устройства

Последние несколько месяцев мы много писали о нововведениях в iOS 11. «Теперь-то заживем!»…