Security Week 17: Злом SWIFT і касових апаратів, вимагання Android c експлойта, обхід AppLocker

Фінансове кібершахрайство найчастіше зачіпає звичайних людей, клієнтів банків, але проблеми в результаті відчувають і самі фінансові організації. Від того, що пристрої користувача атакувати простіше, ніж банківську інфраструктуру, страждають усі. Але є винятки: виявлена нашими експертами в минулому році кампанія Carbanak, свіжі атаки Metel, GCMan і орієнтована більше на клієнтів (великих) кампанія Carbanak 2.0. Додамо до цього високотехнологічне пограбування центрального банку Республіки Бангладеш, який стався в лютому цього року. Безумовно, такі атаки вимагають значно більше скілів і експи, ніж шахрайство з гаманцями користувачів, але і зірвати куш, якщо вийде, можна більший (або відправитися за ґрати на більш тривалий час, як пощастить).

На цьому тижні історія з банківським пограбуванням отримала продовження: стали відомі технічні деталі атаки. Выяснилось, що грабіжники прямо маніпулювали програмним забезпеченням міжнародної платіжної системи SWIFT. Тобто справа не тільки в вразливості інфраструктури конкретного банку: подібній атаці в тій чи іншій мірі схильні всі великі фінансові організації. До техніки повернемося пізніше, цю історію варто розповідати з початку.

Так от, на одній тільки технології, навіть самої крутий, зломщики далеко не поїхали: крадіжка десятків мільйонів доларів будь-якому випадку буде помічена швидко. Атака була проведена десь між 4 і 5 лютого, напередодні вікенду (в Бангладеш це п'ятниця і субота). Всього було вироблено 32 транзакції на загальну суму під мільярд доларів. З них 30 транзакцій були виявлені і заблоковані — встигли, незважаючи на вихідний. Два перекладу, на суми в 21 і 80 мільйонів доларів відповідно в Шрі-Ланку і на Філіппіни, пройшли успішно.

Переклад в Шрі-Ланку згодом вдалося повернути завдяки банальної опечатке. Направляючи кошти на рахунок місцевої некомерційної організації, організатори атаки зробили помилку у слові «фонд» (fandation замість foundation), і служив посередником німецький Deutsche Bank зупинив транзакцію «до з'ясування». На Філіппінах все вийшло. Банк Бангладеш повідомив місцевий банк RCBC про факт шахрайства, але якщо сама атака стала можливою завдяки мусульманських свят, то співробітникам філіппінського банку завадив вчасно вжити заходів Китайський Новий Рік. Коли нарешті всі вийшли на роботу, хтось вже зняв з рахунку 58,15 мільйона доларів за підробленими документами. Цікаво, як виглядає процес зняття з рахунку в банку 58 мільйонів доларів?

Докладна інформація про атаку стала відома лише нещодавно. 22 квітня даними поділилася місцева поліція, і за словами чиновників, в банку з безпекою було… не дуже. З фізичною безпекою все було непогано: всі операції з системою SWIFT здійснювалися з окремого і, судячи з усього, ретельно охоронюваного приміщення. Звіти про всіх електронних транзакцій обов'язково роздруковувалися.



На мережевому рівні операції SWIFT були ізольовані або погано, або ніяк, якщо судити по скупим заяв поліцейських. Згадувалися 10-доларові беушні світчі, відсутність фаєрвол (мабуть між SWIFT-інфраструктурою і всім іншим, включаючи інтернет). Поліція схильна звинувачувати як сам банк, так і представників міжнародної платіжної системи: останні раптово дізналися, що операції SWIFT не захищені, коли вже було пізно. Цілком очікувано, що в банку в принципі не могли зрозуміти, як стався витік (і що це взагалі було), поки не запросили експертів для аналізу. От до речі і різниця між наявністю систем захисту і їх відсутністю (або некоректним впровадженням). Зламати можна навіть захищену систему, але в незахищеною можна ще й замести сліди так, щоб максимально ускладнити подальше розслідування.

Ну а тепер перейдемо до техніки. Докладний розбір частини інструментів для атаки провела компанія BAE Systems і тут розкрилася безпосередня атака на спеціалізоване ПЗ системи SWIFT. Грабіжники могли діяти і по-іншому: захопити контроль над комп'ютером, підключеним до платіжної системи, і далі робити проводки «руками», але пішли більш складним і надійним шляхом. Шкідливий код перехоплював повідомлення системи SWIFT, шукав у них заздалегідь певні послідовності символів, загалом проводив розвідку.

Для атаки зломщики підміняли стандартні модулі платіжної системи і відключали частина перевірок. Наводиться і показовий приклад: для відключення однієї з перевірок, яку, імовірно, шахрайський переклад ніяк не міг пройти, виявилося досить поміняти два байти, видаливши з коду умовний перехід.



Обдурити додатковий захід безпеки з обов'язковою печаткою транзакцій на принтері також виявилося просто. Для друку система формує файли з необхідною інформацією, а шкідливе ПЗ просто забивало ці файли нулями, тобто не тільки блокувало друк, але і стирало інформацію в цифровому вигляді.

Мої колеги з сайту Threatpost запросили у SWIFT коментар, получили відповідь, дуже схожий на звичайну реакцію фінансових організацій на факти шахрайства у простих клієнтів.



У сенсі, атака не виявила вразливостей в інфраструктурі SWIFT, мова йде про небезпечному оточенні в клієнта, коротше, проблема не на нашій стороні. І вони мають рацію, але це така правда, яка нікому не допоможе. Не думаю, що подібних інцидентів буде багато, і швидше за все з усієї цієї історії вже зроблені висновки: місць, де можна одним махом вкрасти мільярд, не так багато. А ось «споживчого» кібершахрайства, атак на різні банки-клієнти для простих смертних, малого і великого бізнесу, ставатиме більше. Боротися з ним складніше, але треба.

Незвичайний троян-здирник для Android з експлойта в комплекті
Новость. Исследование Blue Coat.

Вимагачі для звичайних комп'ютерів використовують експлойти в повну силу, хоча не обмежуються ними. А ось на мобільних пристроях до недавнього часу ситуація виглядала інакше: для початкового зараження атакуючі покладаються швидше на методи соціальної інженерії. Але ландшафт загроз для Android розвивається з тієї ж спіралі, що і атаки на ПК, просто значно швидше. Отже, поява зловредів для смартфонів і планшетів, які встановлюються без допомоги власника — неминуче. І вони таки з'явилися. Цікавий приклад такого трояна-здирника проаналізували фахівці з компанії Blue Coat. Вимагач, відомий як Cyber.Police, атакує пристрої з Android версій 4.х, і є саме здирником, але не шифрувальником. Дані не беруться в заручники, просто блокується пристрій і потрібно викуп хортами картами оплати iTunes на $200.



Значно цікавіше, як здирник потрапляє на пристрій. Для цього використовується два експлойта. Перший експлойт lbxslt дозволяє перехопити контроль над пристроєм після перегляду сайту з зараженим скриптом у штатному браузері. Цей експлойт, разом з низкою інших, був вкрадений у Hacking Team в минулому році. Другий, відомий як Towelroot, експлуатує уразливість в ядрі Linux до 3.4.15 (CVE) і по суті є модифікацією популярної в свій час утиліти для отримання root-прав. На цьому етапі виробляється установка шкідливого додатка, власне трояна, з придушенням стандартних повідомлень про появу нового аппа в системі.

даними самій Google, на різних версіях Android 4.x досі працюють більше половини пристроїв. Дослідник Blue Coat Ендрю Брандт в інтерв'ю Threatpost порівняв цю версію Android з Windows XP — за сприйняттям це вже застаріла система, не підтримувана більшістю вендорів і дуже вразлива. Між тим Windows XP була випущена 15 років тому, а остання версія Android 4.x (KitKat) — 2,5 роки тому. Прогрес рухається семимильними кроками, але в даному контексті це якось зовсім не надихає.

Група FIN6 атакує POS-термінали, успішно вкрала дані 20 мільйонів кредитних карт
Новость. Дослідження FireEye.

Дослідження FireEye про діяльність угруповання, відомої як FIN6, Америку не відкриває: так, зламують касові термінали та крадуть гроші. Подібні операції розвиваються за сценарієм таргетованої атаки: до інфраструктури жертви підбираються відповідні відмички, а далі шкідливе ПО знаходить спеціалізовані комп'ютери і починає перехоплення даних. Історія цікава в контексті. Після схожих атак на найбільші американські мережі роздрібних магазинів (мережа Target відзначилася), США почався довгий і болісний перехід на загальноприйняту в Європі (та й у нас теж) систему оплати картками з чіпом.

Карти EMV набагато краще захищені, і атак, подібних FIN6, не обов'язково схильні (хоча можливі варіанти). Так ось, у зв'язку з цим у орієнтованого на США киберкриминала почалася вечірка на потопаючому кораблі. Впровадили систему chip-and-pin компанії повідомляють про помітне зниження кількості інцидентів, пов'язаних з шахрайством, а ось запізнилися рапортують про зростання в середньому на 11%. Так як покупці не мають звички відмовлятися про покупки в тих місцях, де все ще сканують магнітну смугу у кредиток, виходить що цей тимчасовий перехідний період для жителів і гостей США буде небезпечніше, ніж до або після. Втім, рекомендація щодо використання одноразових карток для оплати під час поїздок навряд чи відміниться навіть тоді, коли абсолютно всі перейдуть на чіпована кредитки.

Що ще сталося:
Вбудована в Windows програма Regsvr32 може бути використана для завантаження та запуску довільного коду в обхід систем безпеки, зокрема AppLocker. На щастя, це поки Proof of Concept від дослідника, і технічно це навіть не можна назвати вразливістю, швидше за використанням штатних системних інструментів протиприродним чином.

Давнину:
«Astra-976»

Дуже небезпечний резидентний вірус, зашифрований, записується в COM-файли поточного каталогу при запуску зараженого файлу і потім у всі COM-файли, що запускаються на виконання. Якщо при старті файлу системні годинник показують 17 хвилин, то вірус шифрує (XOR 55h) таблицю розбиття диска в MBR вінчестера. Трасує int21h. Містить рядки: "© AsTrA, 1991", "(2)".

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 26.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.