12 września 2014

Historia pewnego dochodzenia: rozwiązanie zagadki cyberataku finansowego

Niedawno pewna firma skontaktowała się z Kaspersky Lab z prośbą o zbadanie incydentu, w którym niemal doszło do kradzieży ponad 130 000 dolarów z jej konta firmowego. Przedstawiciele firmy podejrzewali, że za próbą kradzieży stało szkodliwe oprogramowanie. Podejrzenia te zostały potwierdzone w pierwszych dniach dochodzenia.



  • Cyberprzestępcy zainfekowali komputery firmy, wysyłając wiadomość e-mail zawierającą szkodliwy załącznik, który pochodził rzekomo z urzędu skarbowego.
  • W celu uzyskiwania zdalnego dostępu do komputera księgowego w sieci firmowej atakujący wykorzystywali zmodyfikowaną wersję legalnego programu.
  • Do próby kradzieży pieniędzy wykorzystano szkodliwe oprogramowanie. Szkodnik zawierał elementy trojana bankowego Carberp, którego kod źródłowy jest publicznie dostępny.
  • Cyberprzestępcy popełnili błąd podczas konfigurowania serwerów kontroli, co pozwoliło specjalistom z Kaspersky Lab zidentyfikować adresy IP innych zainfekowanych komputerów i ostrzec ich właścicieli o zagrożeniu.
Bank obsługujący firmę, która stanowiła cel cyberprzestępców, zablokował próbę przeprowadzenia transakcji o wartości 130 000 dolarów. Cyberprzestępcom udało się jednak wypłacić 8 000 dolarów, ponieważ kwota ta była zbyt mała, aby obudzić czujność banku, i nie wymagała dodatkowego potwierdzenia księgowego atakowanej organizacji.

Narzędzia wykorzystane przez cyberprzestępców

Eksperci z Kaspersky Lab otrzymali od atakowanej organizacji obraz dysku twardego zainfekowanego komputera. Po zbadaniu go wykryli podejrzaną wiadomość e-mail wysłaną w imieniu urzędu podatkowego, w której proszono o natychmiastowe dostarczenie określonych dokumentów. Lista wymaganych pism znajdowała się w załączonym pliku .DOC. Dokument ten był zainfekowany szkodliwym programem wykorzystującym lukę CVE-2012-0158 w pakiecie MS Office (załataną przez Microsoft na początku 2012 r.). Szkodnik aktywował się w momencie otwarcia dokumentu i pobierał na komputer ofiary kolejny niebezpieczny plik.

Na dysku twardym zainfekowanego komputera specjaliści wykryli zmodyfikowaną wersję legalnego programu, którego celem jest zapewnianie zdalnego dostępu do komputerów. Programy tego typu są często wykorzystywane przez administratorów IT, jednak wersja wykryta na zaatakowanym komputerze została zmodyfikowana w taki sposób, aby ukrywać swoją obecność w zainfekowanym systemie. Produkty firmy Kaspersky Lab wykrywają ten program jako Backdoor.Win32.RMS i blokują go.

Nie był to jednak jedyny szkodliwy program wykryty na komputerze ofiary. Dalsze badania pokazały, że z pomocą szkodnika Backdoor.Win32.RMS przestępcy zainstalowali w systemie jeszcze jedną tylną furtkę - Backdoor.Win32.Agent. Atakujący wykorzystali ją do uzyskania zdalnego dostępu do komputera ofiary. Co ciekawe, w kodzie wykrytego programu Backdoor.Win32.Agent zidentyfikowano elementy trojana bankowego Carberp, którego kod źródłowy został opublikowany publicznie wcześniej tego roku.

Po przejęciu kontroli nad komputerem cyberprzestępcy utworzyli zlecenie płatności w zdalnym systemie bankowym i potwierdzili je przy pomocy adresu IP komputera księgowego, który bank uważał za zaufany. Pozostaje jednak pytanie: w jaki sposób cyberprzestępcy zdobyli hasła wykorzystywane przez księgowego w celu dokonywania transakcji? Eksperci kontynuowali badanie i wykryli kolejny szkodliwy program - Trojan-Spy.Win32.Delf. Był to keylogger, który przechwytywał dane wprowadzane z klawiatury. W ten sposób cyberprzestępcy ukradli hasło księgowego i zdołali przeprowadzić transakcję.

Nowe ofiary

Gdy śledztwo dobiegało końca, eksperci odkryli kolejny ciekawy fakt: wszystkie szkodliwe programy wykorzystywane w ataku były zarządzane z cyberprzestępczych serwerów kontroli, których adresy IP należały do tej samej podsieci. Podczas jej tworzenia atakujący popełnili błąd, dzięki któremu eksperci z Kaspersky Lab mogli zidentyfikować adresy IP innych komputerów zainfekowanych trojanem szpiegującym Trojan-Spy.Win32.Delf. W większości przypadków był to sprzęt działający w małych lub średnich firmach. Kaspersky Lab niezwłocznie skontaktował się z właścicielami zainfekowanych komputerów, aby ostrzec ich o zagrożeniu.

„Opisywana historia, z technicznego punktu widzenia, może się wydarzyć w każdym kraju - tego rodzaju cyberprzestępczość nie różni się znacząco w poszczególnych państwach. Na całym świecie większość firm korzysta z systemu Windows i pakietu Microsoft Office, który może zawierać niezałatane luki. Nie ma też dużej różnicy jeśli chodzi o sposoby kontaktowania się działów finansowych firm z bankami za pośrednictwem usług bankowych w różnych państwach. Ułatwia to życie cyberprzestępcom, którzy kradną pieniądze za pośrednictwem zdalnych systemów bankowości” – powiedział Michaił Prokorenko, analityk szkodliwego oprogramowania, Kaspersky Lab.

Aby pomóc organizacjom korzystającym ze zdalnych systemów bankowości zmniejszyć ryzyko stania się ofiarą kradzieży pieniędzy z kont firmowych, eksperci z Kaspersky Lab doradzają ustanowienie niezawodnego uwierzytelniania wieloskładnikowego (m.in. tokenów, haseł jednorazowych dostarczanych przez bank itp.), dopilnowanie, aby oprogramowanie zainstalowane na komputerach firmowych było niezwłocznie uaktualniane (jest to szczególnie istotne w przypadku komputerów wykorzystywanych w działach finansowych), zabezpieczenie komputerów przy pomocy rozwiązania bezpieczeństwa, a także wyszkolenie pracowników w zakresie rozpoznawania sygnałów ataków oraz odpowiedniego reagowania na takie incydenty.

Szczegółowy raport dotyczący omawianego incydentu jest dostępny w języku angielskim w serwisie SecureList.com prowadzonym przez Kaspersky Lab.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.