Эксперты «Лаборатории Касперского» рассказали на конференции Security Analyst Summit об интересной атаке, от которой в конце 2016 года пострадал неназванный бразильский банк, обслуживающий более 5 млн клиентов. Злоумышленники решили не «охотиться» на отдельных пользователей, но скомпрометировать весь банк полностью, для чего перехватили контроль над всеми 36 доменами, принадлежащими финансовой организации.
Исследователи говорят, что поначалу этот случай показался им обычным взломом сайта, но вскоре выяснилось, что сайт банка раздает малварь всем пользователям без исключений. Каждый посетитель ресурса получал архив с Java-малварью. Вредонос оказался встроен в индексный файл сайта, посредством которого загружался iframe, перенаправляющий жертву на вредоносный ресурс. При этом сайт имел действительный SSL-сертификат, выданный Let’s Encrypt, и на первый взгляд не вызывал никаких подозрений. Глядя на это, исследователи задались вопросом, «как такое возможно, неужели хакеры скомпрометировали весь банк»?
Атака действительно была масштабнее простой компрометации сайта. Злоумышленники перехватили контроль над всеми 36 доменами, принадлежащими банку, включая домены основных сайтов, мобильных ресурсов, point-of-sale и так далее. Все домены, включая корпоративные, оказались в руках преступников. Исследователи подчеркивают, что злоумышленники добрались даже до инфраструктуры корпоративной почты и отключили ее, чтобы сотрудники банка не смогли предупредить пользователей о происходящем, а также связаться с регистратором или DNS провайдером.
Как выяснилось, дело было именно в DNS. При помощи направленной атаки креативные хакеры сумели скомпрометировать DNS хостинг банка, после чего получили возможность делать со всеми 36 доменами все, что заблагорассудится. Так, часть доменов отдавала посетителям фишинговые страницы, имитирующие настоящий банковский сайт, чтобы выманить у пользователей учетные данные.
Анализ малвари обнаружил восемь модулей, включая файлы конфигурации с URL банка, модули обновлений, модули для хищения данных из Microsoft Exchange, Thunderbird и локальной адресной книги, а также модули для контроля и расшифровки данных интернет банкинга. Все модули поддерживали связь с управляющим сервером, расположенным в Канаде. Один из модулей (Avenger) и вовсе оказался легитимным инструментом для пентестинга. Обычно он используется для удаления руткитов, но в данном случае его модифицировали и применяли для удаления защитных решений со скомпрометированных компьютеров. При помощи Avenger эксперты сумели обнаружить аналогичные атаки на еще девять банков в разных странах мира.
«Плохие парни хотели использовать эту возможность для компрометации операций банка, но также для распространения малвари, которая может похищать деньги из банков других стран», — говорят исследователи.
Судя по тому, что использованный злоумышленниками сертификат Let’s Encrypt был зарегистрирован за пять месяцев до атаки, операцию планировали долго и тщательно. Также экспертам удалось обнаружить фишинговые письма, в которых злоумышленники представлялись сотрудниками неназванного бразильского регистратора. Теперь исследователи предупреждают, что подобные атаки могут быть очень опасны: «Представьте, что сотрудник стал жертвой фишеров, и атакующие получили доступ к DNS таблицам. Это будет очень плохо. Если DNS контролируют преступники, плохи ваши дела».