Похитившие сотни миллионов долларов хакеры вернулись в Россию

Безопасность
мобильная версия
, Текст: Сергей Попсулин

Возвращение Carbanak

Специалисты словацкой антивирусной компании Eset зафиксировали возобновление в российских сетях вредоносной активности хакерской группировки Carbanak, ответственной за кражи сотен миллионов долларов, данных кредитных карт и интеллектуальной собственности.

Как сообщили в Eset, специалистами были обнаружили новые образцы вредоносного программного обеспечения, созданные участниками Carbanak для проведения атак на финансовые учреждения. В частности, атакующие используют троян Win32/Spy.Agent.ORM (также известный как Win32/Toshliph), бэкдор Win32/Wemosis для кражи конфиденциальных данных карт с PoS-терминалов и троян Win32/Spy.Sekur. 

Сочетание нескольких инструментов

Carbanak не ограничивается одним семейством вредоносных программ и сочетает несколько инструментов, подчеркнули в Eset. Все указанные программы основаны на разных кодовых базах, однако содержат некоторые общие черты, например, подписи на основе одного цифрового сертификата. 

Кроме того, атакующие пополнили свой арсенал последними эксплойтами для таких уязвимостей Microsoft Office, как RCE CVE-2015-1770 и CVE-2015-2426, которые содержатся в утекших данных компании Hacking Team.

Вектор заражения

Атака может проводиться посредством фишингового сообщения с вредоносным вложением в виде RTF-файла с различными эксплойтами или файла в формате SCR. Специалисты Eset наблюдали, в частности, образцы фишинговой рассылки на русском языке, адресованные сотрудникам компаний по обработке электронных платежей, Forex-трейдеров и других финансовых организаций.

Среди названий вложенных вредоносных файлов из этих писем: «АО «АЛЬФА-БАНК» ДОГОВОР.scr», «Перечень материалов для блокировки от 04.08.2015г.scr», «Postanovlene_ob_ustranenii_18.08.2015.pdf %много_пробелов% ..scr», «Правила Банка России от 06.08.2015.pdf %много_пробелов% .scr», prikaz-451.doc и др.



Группировка Carbanak

Carbanak — международная банда хакеров, в которую входят специалисты из России, Китая и европейский стран. Группировка  специализируется на взломе крупных организаций, в числе жертв — банки и Forex-трейдеры из России, США, Германии, ОАЭ, Великобритании и некоторых других стран. За два года хакеры из группировки Carbanak сумели «увести» около $300 млн со счетов более 100 банков из 30 стран мира. Деятельность мошенников продолжалось почти два года. От других подобных инцидентов его отличает то, что киберпреступники крали деньги напрямую у банков, а не у пользователей. На каждое ограбление — от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей — уходило 2–4 месяца.

Отличительная черта мошенников

Как выяснили эксперты, хакерам из Carbanak удалось внедрить вредоносную программу в компьютеры банковских служащих, обрабатывающих данные о ежедневном трансфере и занимающихся бухгалтерским учетом. Зачастую для этого использовались фишинговые приемы. После заражения одного компьютера хакеры могли свободно пользоваться внутренней сетью банков в поисках сотрудников, в ведении которых находились денежные переводы, и разворачивали видеонаблюдение за их экранами. Это позволяло отслеживать все действия персонала, получать нужную информацию, а после дистанционно направлять в банкоматы запросы на выдачу денег или перечислять средства на фальшивые счета, открытые в банках Китая и США.

Серверы Carbanak и ФСБ

В мае 2015 г. специалист по информационной безопасности Максим Гончаров обнаружил, что веб-сайт Федеральной службы безопасности (ФСБ) России размещен на том же сервере, на котором находился командно-контрольный сервер злоумышленников Carbanak. «Это недоразумение или чья-то шутка», — попытался смягчить выводы от своей находки Максим Гончаров. «Я не знаю, почему так произошло. Я сомневаюсь в том, чтобы ФСБ захотела использовать адрес, связанный с атакой Carbanak. Вероятно, владелец домена просто пошутил», — предположил он после проверки данных адреса (по результатам которой он не нашел каких-либо доказательств причастности ФСБ к атаке).