Carbanak - wielki "napad" na ponad 100 banków

[ichito]

"Napad" w cudzysłowie, bo nie mówimy o tradycyjnym napadzie, ale o "cybernapadzie", który rozgryzał Kaspersky Lab wspólnie z Interpolem, Europolem i instytucjami rządów wielu państw. Opis w obszernym cytacie ze strony KL

Kaspersky Lab, Interpol, Europol oraz władze różnych krajów połączyły wysiłki, aby rozwikłać wątek przestępczy w bezprecedensowym cybernapadzie. W ciągu około dwóch lat prawie miliard dolarów amerykańskich zostało skradzionych instytucjom finansowym na całym świecie. Eksperci twierdzą, że odpowiedzialność za kradzież ponosi międzynarodowy gang cyberprzestępców z Rosji, Ukrainy i innych części Europy, jak również z Chin. W ataku ucierpiały także instytucje finansowe z Polski.
(...)
Od 2013 r. przestępcy próbowali zaatakować do 100 banków, systemów e-płatności oraz innych instytucji finansowych w około 30 państwach. Ataki te nadal są aktywnie przeprowadzane. Według danych Kaspersky Lab cybernapady gangu Carbanak uderzały w organizacje finansowe w Rosji, Stanach Zjednoczonych, Niemczech, Chinach, na Ukrainie, w Kanadzie, Hongkongu, Tajwanie, Rumunii, Francji, Hiszpanii, Norwegii, Indiach, Wielkiej Brytanii, Polsce, Pakistanie, Nepalu, Maroku, Islandii, Czechach, Szwajcarii, Brazylii, Bułgarii oraz Australii.

Szacuje się, że największe kwoty zostały ukradzione w wyniku ataków na banki - w każdym napadzie cyberprzestępcy wzbogacili się o niemal dziesięć milionów dolarów. Każda kradzież pieniędzy z banku trwała średnio od dwóch do czterech miesięcy, od momentu zainfekowania pierwszego komputera w korporacyjnej sieci bankowej do "ucieczki" ze skradzionymi pieniędzmi.

Na początku cyberprzestępcy uzyskiwali dostęp do komputera pracownika za pośrednictwem ukierunkowanych phishingowych wiadomości e-mail, infekując ofiarę szkodliwym oprogramowaniem Carbanak. To pozwoliło im wniknąć do wewnętrznej sieci i zidentyfikować komputery administratorów, które zostały poddane monitoringowi wideo. Dzięki temu atakujący mogli widzieć i rejestrować wszystko, co działo się na ekranach pracowników, którzy obsługiwali systemy przelewu gotówki. W ten sposób oszuści poznali każdy najmniejszy szczegół związany z pracą urzędników bankowych i mogli imitować działania personelu w celu przelania pieniędzy i zdeponowania gotówki.

W jaki sposób skradziono pieniądze

Gdy nadszedł czas "spieniężenia" ataku, oszuści wykorzystali bankowość online lub międzynarodowe systemy e-płatności w celu przelania środków z kont banków na własne. W drugim przypadku skradzione pieniądze zostały ulokowane w bankach w Chinach i Ameryce. Eksperci nie wykluczają, że odbiorcami były inne banki w innych państwach.

W innych przypadkach cyberprzestępcy wniknęli do samego serca systemów bankowych, zwiększając salda kont, a następnie kradnąc te dodatkowe środki w wyniku oszukańczej transakcji. Na przykład: jeśli na koncie znajduje się 1 000 dolarów, przestępcy zmieniają tę kwotę, tak aby wynosiła 10 000 dolarów, a następnie przelewają sobie 9 000 dolarów. Posiadacz rachunku nic nie podejrzewa, ponieważ pierwotne 1 000 dolarów nadal znajduje się na jego koncie.

Ponadto cyberprzestępcy przejęli kontrolę nad bankomatami i nakazali im wypłacić gotówkę w określonym terminie. Gdy nadszedł termin realizacji płatności, jeden z członków gangu czekał obok maszyny, aby odebrać płatność "na okaziciela"

"Opisywane napady na banki były nietypowe, ponieważ dla przestępców nie miało żadnego znaczenia, jakie oprogramowanie wykorzystują instytucje finansowe. Nawet jeśli bank posiada unikatowe oprogramowanie, nie może czuć się bezpieczny. Atakujący nie musieli nawet włamywać się do serwisów banków: po wniknięciu do sieci wymyślili, jak ukryć swój przekręt pod przykrywką legalnych działań. To była bardzo sprawna, profesjonalna cyberkradzież" - powiedział Siergiej Golowanow, główny badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

Infografiki z tego samego artykułu

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

Na ten sam temat zamieścil info również Niebezpiecznik i za nim kilka fragmentów

Kulisy operacji ujawnia NYT, cytują roboczą wersją raportu firmy Kaspersky, który jednak jest zadziwiająco podobny do znanego już raportu firmy GroupIB i FoxIT. Kasperksy malware użyty do ataku ochrzcił mianem “Carbanak”, a Group-IB nazywa go “Anunak“. Czy obie firmy opisują tę samą grupę przestępców? To w 100% będzie można rozstrzygnąć dopiero po ukazaniu się pełnego raportu Kasperksiego.

Jedną z ciekawych technik ataku, poza standardowymi przelewami funduszy z jednego rachunku na drugi, było pompowanie kont. Atakujący, kontrolujący komputer bankiera, podnosił saldo na koncie ofiary (np. z 10 000 PLN do 20 000 PLN), a następnie z tego konta podejmowana była “dodana” gotówka. W ten sposób, ofiara nie orientowała się, że coś jest nie tak (dalej miała tyle samo środków ile przed atakiem), nikt więc nie powiadamiał banku o kradzieży. To dawało więcej czasu złodziejom na podjęcie wykradzionych środków.
Wszystkie banki milczą

Publicznie, żaden z poszkodowanych banków nie przyznał się do bycia ofiarą. To zrozumiałe — żadna z instytucji finansowych nie chce podkopywać zaufania swoich klientów. Ich nagły odpływ mógłby skończyć się tragicznie (mało które banki są faktycznie wypłacalne do wysokości sald klientów).

Nie należy też zakładać, że cała wykradziona z jednego banku gotówka została faktycznie podjęta z konta w innym banku. Kaspersky informuje, że potwierdził przelewy na co najmniej kwotę 300 milionów dolarów (podejrzewają, że w rzeczywistości przelewów mogło być nawet trzykrotnie więcej) — ale chodzi o przelewy wychodzące na konta słupów. Wykradzioną gotówkę trzeba jeszcze podjąć z konta słupa — a to nie jest już wcale takie łatwe zadanie i czasem współpraca między bankami może doprowadzić do zablokowania już zrealizowanego przelewu po stronie banku docelowego. Rabusie, którzy niedostatecznie szybko odwiedzali bankomaty, utracą wtedy dostęp do jeszcze niepodjętych pieniędzy.

Tak czy inaczej, powyższe incydenty pokazują, że nawet organizacje, dla których bezpieczeństwo teleinformatyczne jest kluczowe — i które inwestują ogromne środki w technologie ochronne oraz zatrudniają najlepszych specjalistów — mimo wszystko są podatne na ataki, a najsłabszym ogniwem jest człowiek.

Co ciekawe, jedną z ofiar był SWIFT, stowarzyszenie odpowiadające za międzynarodowe przelewy, a niektóre z banków były okradane wielokrotnie — maksymalne kwoty przelewu to 10 milionów dolarów. Kiedy Kasperksy ujawni pełną treść raportu — zaktualizujemy ten artykuł o nowe szczególy.

[Aby zobaczyć linki, zarejestruj się tutaj]

[M'cin]

Heh podejrzeć przez kamerkę admina, jak loguje się na stanowisko -> na takiego keyloggera to i spyshelter nie pomoże

[ichito]

SS powinien bez problemu wykryć takiego webcamloggera, ale decyzja i tak należałaby do użytkownika...chyba, że włączyłby opcję automatycznego blokowania podejrzanych procesów.

[anomito]

Jakim trzeba być idiotą, by otwierać podejrzane załączniki na komputerze pracowniczym!! Technika z ery kamienia łupanego, a lalusiew krawatach dają się na to nabrać. Nic innego nie pozostaje, tylko w pysk dać takiemu perfumowanemu kretynowi by się ockną. Jakby byli odcięci od świata, żyli w ciemnych piwnicach i nie czytali o niczym. To woła o pomstę do nieba, tragedia. Kiedyś Kevin Mitnick dzwonił, i miał to co chciał, widać teraz można masowo wysyłać, bo półgłówków pełno wszędzie inadal nie brakuje.

[Quassar]

@anomito dokładnie zgadzam sie z tobą ludzie są naprawde zacofani prosty przykłąd.

Każdy nawet 6 latek omija pijanego żebraka bo wiadomo że bedzie chiał kase na alkochol a teraz taka osoba poważna szanująca sie siada na komputer i nagle zacofanie w rozwoju klika gdzie popadnie a jak antywirus wykrywa wirusa to wyłącza antywirusa bo mu kasuje cracka z grą bo ktos napisal ze tam niby fake a moze byc prawdziwy groźny wirus...

[M'cin]

Nie mierzyć wszystkich swoją miarą, wiele osób wciąż traktuje komputer jak czarną skrzynkę, która bardziej przeraża niż pomaga. Jak 50 letniemu bankierowi po weekendowym szkoleniu kazali się przesiąść z maszyny do pisania na komputer nie musiał "czuć'' wszystkich zależności systemu, coś mu się wydawało wiarygodne to kliknął i nie miał po prostu świadomości, co to może zmienić. Wiem, że wiele osób jest świadoma zagrożeń i je ignoruje, ale to nie znaczy, żeby wszystkich sprowadzać do jednego stereotypu.

[Quassar]

@M''cin
Dobra ale bank to nie sklepikarz w małym kioseczku to jest jedno z najważniejszych stanowisk pracy gdzie tzreba mieć spore doświatczeni i przygotowanie zanim posadzi sie taką osobe..
Jak widać po 10 min kursie bezpieczeństaw można nabyć wiedze zeby tak debilowatych wykroczeń nie popełniać.. po mimo tego jednak taka osobę pełniła tam role pracownika pytanie czy system kadr ma wszysto ok z głową aż strach pomyśleć czy są tam też inni "tak wykwalifikowani pracownicy".

Temu bankowi dziękujemy....

[Szymonr66]

W odpowiedzi na wasze komentarze pozwolę sobie zacytować użytkownika Kris z Niebezpiecznika:

Wiesz tego typu ataki to nie maile w stylu piramidy Nigeryjskiej czy inne takie.
To jest hard level oparty w dużej mierze o socjotechnikę. Chcąc zainfekować czy chociaż z ciekawości umieścić robala na służbowym komputerze miłej Pani Krysi z okienka bankowego, wymieniasz się adresem mailowym po czym wysyłasz do niej wcześniej umówione dokumenty. Czy otworzy- raczej tak.
Poza tym filtry bankowe zwykłych maili-śmieci nie wpuszczają na skrzynkę pracownika tylko dostaje informację że taki a taki mail został zatrzymany.

Pytasz o szkolenia. Ze swoich źródeł wiem jak wygląda takie szkolenie. W dzisiejszych czasach obsługa komputera to podstawa w CV. Nikt przecież nie będzie na kolejnych szkoleniach wkładał przyszłym bankierom do głowy,żeby nie otwierali nieznajomych linków czy maili. Inna sprawa,że podatni na atak są Ci pracownicy, którzy przepracowali już kilka lat i WYDAJE im się,że nic ich już nie zaskoczy. A wystarczy włożenie głupiego palucha USB do komputera konsultanta z którym załatwiasz np.dokumentację do kredytu i nawet chłop nie skojarzy,że właśnie instaluje konika.
Piszesz,że niewidomy by się nie nabrał- owszem niewidomy nie,ale już przepracowany i znużony codziennymi obowiązkami pracownik-TAK. Dlatego powtórzę to co już nie jedna osoba tutaj napisała- czynnik ludzki,nawet najmądrzejszy,jest najsłabszym ogniwem.

[ichito]

Zgadzam się z Szymonem, a właściwie z cytatem, który zaprezentował...czynnik ludzki jest najważniejszy, bo właśnie człowiek jest celem ataku. I nie są to już proste metody podszywania się pod legalnych nadawców, kuszenia jakimiś "super-duper" okazjami, ale akcje wymierzone w banki, jak tu, czy inne ważne/pożądane instytucje, w których ludzie mają z definicji mieć więcej pojęcia o tym, co może grozić...ataki są więc bardziej skomplikowane, wyrafinowane i czasem niezwykle trudno nawet po wstępnej analizie odpowiedzieć, czy wiadomość jest zaufana czy nie. Tacy ludzie przeważnie wciąż są pod presją, którą stwarzają okoliczności - przełożeni, firma, klienci, partnerzy handlowi...a ilość podobnych wiadomości powoduje przytępienie uwagi i pewną rutynę.

[zbc]

Przed chwilą w telewizji o tym mówili.