Аналитики компании FireEye обнаружили, что исходники малвари Carbanak уже давно были загружены на VirusTotal. Исследователи изучали их два года и только теперь опубликовали результаты своего анализа, причем это целая серия статей, состоящая из четырех отдельных публикаций.
Опасный вредонос, найденный специалистами, принадлежал известной хак-группе FIN7 (она же Carbanak, Anunak и Cobalt Group). По информации Министерства юстиции США, только с 2015 года группа FIN7 атаковала более 100 компаний и организаций на территории США, взломав тысячи различных систем. Только США хакеры похитили свыше 15 000 000 платежных карт, скомпрометировав более 6500 PoS-терминалов.
Группировка также действовала и в других странах, включая Великобританию, Австралию, Францию, и от атак FIN7 пострадали такие крупные компании, как Chipotle Mexican Grill, Chili’s, Arby’s, Red Robin, Jason’s Deli. По данным «Лаборатории Касперского», уже по информации на 2015 год группировке суммарно удалось похитить около миллиарда долларов.
Вредонос Carbanak был создан FIN7 для атак на банкоматы и финансовые учреждения в разных странах мира. Так, в 2013-2014 годах злоумышленники начинали с малварь-кампании Anunak, а в 2014-2016 годы перешли на ее улучшенную версию Carbanak, а затем, в 2016-2017 годы создали еще более сложного вредоноса, известного как Cobalt Strike.
Все атаки группы имели схожий «почерк». Злоумышленники рассылали сотрудникам банков таргетированные фишинговые письма с вредоносными вложениями. В таких посланиях хакеры выдавали себя за представителей реально существующих компаний. Как только жертва запускала малварь, преступники получали доступ к зараженной машине, а через нее проникали во внутреннюю сеть банка. Таким образом группировка добиралась, например, до серверов, работающих с банкоматами (также хакеры каждый раз старались получить доступ к платежным шлюзам и карточному процессингу), после чего взломщики могли начинать обналичивать деньги.
Эксперты FireEye рассказывают, что обнаружили на VirusTotal два архива RAR (kb3r1p и apwmie) с исходными кодами Carbanak, билдерами и другими инструментами группы. Оба файла были загружены с российских IP-адресов. Согласно отчету, исходники «весят» более 20 Мб и насчитывают свыше 100 000 строк кода.
«Иметь на руках исходники, это как иметь чит-код для анализа малвари. Конечно же, исходный код содержит много информации, которая обычно теряется по время компиляции и линковки», — пишут аналитики FireEye.
Исследователи потратили на изучение своей находки долгие месяцы, в том числе и потому, что уперлись в языковой барьер. Дело в том, что исходники содержали русский язык в огромных количествах, и аналитикам не сразу удалось даже подобрать верную кодировку, а затем пришлось составить небольшой словарь для упрощения работы.
Теперь эксперты FireEye с гордостью пишут о том, что, благодаря их работе, изучить структуру малвари смогут и специалисты, которые не говорят по-русски.
Напомню, что в настоящее время та самая группа Carbanak уже не существует. В марте 2018 года в Испании был арестован лидер группировки, а в августе того же года стало известно, что Минюст США предъявил обвинения трем гражданам Украины, которые тоже входили в состав FIN7. Судя по всему, после этих событий группировка раскололась на несколько маленьких хак-групп, которые продолжают атаки на финансовый сектор по сей день.