• LHP

Több mint 130 ezer dollárt kíséreltek meg ellopni egy orosz vállalat számlájáról: a kivizsgálásra a Kaspersky Labet kérték fel.

Rosszindulatú programot sejtettek a történtek hátterében, és gyanújuk már a vizsgálat első napjaiban beigazolódott.

 Kiberbűnözők megfertőzték a vállalat számítógépeit egy rosszindulatú mellékletet tartalmazó e-maillel, amelyről úgy tűnt, hogy az állami adóhatóságtól érkezett.
 Hogy távoli hozzáférést szerezzenek a könyvelőnek a vállalati hálózathoz csatlakozó számítógépéhez, a hekkerek egy legális program módosított változatát használták.
 A pénz ellopására rosszindulatú programot használtak. Ez a Carberp banki trójai elemeit tartalmazta, melynek a forráskódja nyilvánosan elérhető.
 A kiberbűnözők hibáztak C&C szervereik konfigurálásakor, lehetővé téve a szakértőknek, hogy felfedjék más fertőzött számítógépek IP-címét és figyelmeztessék tulajdonosaikat a veszélyre.

A pénzügyekre szakosodott kiberbűnözők által megtámadott vállalat bankja blokkolta a megkísérelt 130 ezer dolláros tranzakciót. Azonban a hekkerek sikeresen végrehajtottak egy 8 ezer dolláros kifizetést, mivel az az összeg túlságosan kicsi volt ahhoz, hogy riassza a bankot, és nem igényelt további jóváhagyást az ügyfél könyvelőjétől.

A kiberbűnözők által használt eszközök

A Kaspersky Lab Global Emergency Response Team (GERT) szakértői megkapták a megtámadott számítógép merevlemezének image fájlját. Ennek tanulmányozása során igen hamar felfedezték a gyanús e-mailt, amelyet az állami adóhivatal nevében küldtek, arra kérve a céget, hogy sürgősen mutasson be pár dokumentumot. Ezek listáját egy mellékelt Word-dokumentum tartalmazta, amelyet megfertőztek a CVE-2012-0158 jelű sérülékenység kihasználására szolgáló kóddal. A kód a dokumentum megnyitásakor aktivizálódott, és letöltött egy másik rosszindulatú programot az áldozat számítógépére.

A fertőzött számítógép merevlemezén a GERT specialistái megtalálták egy távoli hozzáférésre kifejlesztett, legális program módosított változatát. Ez a program általánosan használt a könyvelők és rendszeradminisztrátorok körében. Azonban a szakértők által talált verziót úgy módosították, hogy leplezze jelenlétét a fertőzött gépen.

Mindazonáltal nem ez volt az egyetlen rosszindulatú program az áldozat számítógépén. A további vizsgálat kiderítette, hogy egy másik backdoort (Backdoor.Win32.Agent) töltöttek le a megfertőzött gépre a Backdoor.Win32.RMS segítségével. A kiberbűnözők ezt a fertőzött géppel való távoli Virtual Network Computing (VNC) hozzáférés létesítésére használták. Ráadásul a Backdoor.Win32.Agent kódjában a szakértők megtalálták a Carberp banki trójai elemeit. A Carberp forráskódját az év elején publikálták.

Miután a kiberbűnözők megszerezték az ellenőrzést a számítógép felett, egy illegális fizetési megbízást hoztak létre a banki rendszerben, amelyet a könyvelő számítógépének IP címével hitelesítettek a banknak. De hogyan jutottak hozzá a könyvelő jelszavához, amely szükséges volt a tranzakció elindításához? A szakértők folytatták a vizsgálatot, és újabb rosszindulatú programra, a Trojan-Spy.Win32.Delf nevű billentyűzetleütés-figyelőre bukkantak. Ennek segítségével lopták el a kiberbűnözők a könyvelő jelszavát.

További áldozatok is vannak

Ahogy a vizsgálat a befejezéséhez közeledett, a szakértők újabb érdekességet fedeztek fel: a támadásban résztvevő összes rosszindulatú programot olyan C&C szerverekről irányították, amelyek IP címe ugyanahhoz az alhálózathoz tartozott. Amikor ezt az alhálózatot létrehozták, a kiberbűnözők elkövettek egy hibát, amely lehetővé tette a szakértőknek, hogy kiderítsék a Trojan-Spy.Win32.Delffel megfertőzött további számítógépek IP címét. Bebizonyosodott, hogy ezeknek a gépeknek a többsége kis- és középvállalkozások tulajdonában van, amelyeket a Kaspersky Lab azonnal figyelmeztetett a veszélyre.

- Bár az incidens Oroszországban történt, technikai szempontból nem nevezhető országspecifikusnak: valójában ez a fajta kiberbűncselekmény országonként kevéssé tér el. Világszerte a legtöbb vállalat a Windows és az Office különféle változatait használja, amelyek kijavítatlan sérülékenységeket tartalmazhatnak. Ugyancsak kevéssé különböznek egymástól az egyes országokban azok a módszerek, amelyekkel a vállalatok pénzügyi osztályai kapcsolódnak a banki szolgáltatásokhoz. Ez megkönnyíti a kiberbűnözők helyzetét, akik a távoli bankolást lehetővé tevő rendszerek révén próbálnak meg pénzt lopni – mondta Mikhail Prokhorenko, a Kaspersky Lab Global Emergency Response Team malware elemzője.

Hogy csökkentsék a céges bankszámlákról való pénzlopás kockázatát, a Kaspersky szakértői azt tanácsolják a távoli bankolási rendszereket használó szervezeteknek, hogy hozzanak létre megbízható, többfaktoros hitelesítést (tokenekkel, egyszer használatos, a bank által kiadott jelszavakkal stb); gondoskodjanak róla, hogy a vállalati számítógépekre telepített szoftvereket azonnal frissítsék (különösen a pénzügyi osztályokon használtakat); védjék ezeket a számítógépeket biztonsági megoldással; valamint képezzék ki az alkalmazottakat arra, hogy felismerjék a támadások jeleit és megfelelően reagáljanak rájuk.

hirado

Feltöltve: 2014.09.12.
Megnézve: 1700

További hírek

• Ezeken a magyar településeken már készülhetnek az ivóvízhiányra
• Fokozódik a konfliktus: tűzharc tört ki a Wagner-csoport és az orosz légierő között, már három helikoptert lelőttek
• Putyin beszédet intézett népéhez a a Wagner-csoport lázadása után: „Az ilyen fenyegetésre keményen fogunk reagálni”
• Lázadás tört ki Oroszországban: a Wagner zsoldoscsoport elfoglalt egy orosz várost, Putyin hamarosan beszédet mond
• Olyan vihar jöhet, ami ellen az esernyő nem elég
• Ők öten vesztek hullámsírba a Titan fedélzetén

Vissza a főoldalra

2003 - LHP Portálcsoport - Minden jog fenntartva
0.011 s