Спустя год после раскрытия масштабного киберограбления, совершённого группировкой Carbanak, «Лаборатория Касперского» зафиксировала новые случаи использования методов нашумевших киберпреступников. Эксперты компании обнаружили, что «на арене» появились ещё две команды, работающие в том же стиле, – Metel и GCMAN, да и сама группа Carbanak возобновила свою активность. В настоящее время все они в основном атакуют и грабят банки и финансовые организации в России.
Отличительной особенностью атак, за которыми стоят эти организаторы, является использование тактик и технологий, применяемых в профессиональных кампаниях кибершпионажа, спонсируемых государствами. Вот только целью преступников является не получение данных, а кража денег с банковских счетов. Помимо этого, группировки активно используют в своих атаках легальное ПО, что помогает им не тратить время и силы на разработку специального софта, а также позволяет минимизировать риск обнаружения в заражённой системе. Кроме того, преступники изобрели новые схемы обналичивания украденных денег.
Metel
В активе кибергруппировки Metel имеется немало интересных уловок и тактик, но по-настоящему она отличилась интересной схемой вывода денег из банка: злоумышленники получают контроль над теми ресурсами внутри банка, которые имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), и настраивают автоматический откат операций, совершаемых через банкоматы. Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно.
В ходе своего расследования эксперты «Лаборатории Касперского» выяснили, что бандитская группировка разъезжала по городам России и в течение всего одной ночи снимала через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком. А это, в свою очередь, свидетельствует о том, что активная фаза кибератак в целом стала короче: как только злоумышленники понимают, что они подготовили все необходимое для достижения своей цели, они получают всё, что им нужно, и сворачивают операцию в течение считаных дней или даже часов.
Чтобы попасть в корпоративную сеть банка, группировка Metel рассылает фишинговые письма с вредоносными вложениями или использует эксплойт Niteris, заражающий устройства через открытые уязвимости в браузерах. Дальше, в случае успеха, киберпрестпуники прибегают к помощи легальных технологий для проверки сети на проникновение, получают в своё распоряжение контроллер локального домена и в итоге открывают доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.
До настоящего времени «Лаборатория Касперского» не зафиксировала ни одной атаки Metel за пределами России. Тем не менее, группировка все ещё активна, и у экспертов есть основания полагать, что география заражений может быть гораздо шире. Именно поэтому компания рекомендует банкам по всему миру проверить свои IT-системы, чтобы исключить заражение.
GCMAN
Как выяснили эксперты «Лаборатории Касперского», иногда кибергруппировка GCMAN проводит успешные атаки, не используя вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты тестирования системы на проникновение. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка.
Злоумышленники готовятся к ограблению тщательно: в одной из операций, к примеру, они находились в заражённой системе полтора года, прежде чем начать красть деньги. При этом, когда дело доходит до кражи, действуют они крайне быстро. Каждую минуту группировка GCMAN способна переводить до $200 – лимит для анонимных платежей в России. Все украденные деньги киберпреступники переводят на криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием. Поручения на транзакции в этих случаях направляются напрямую в банковский платёжный шлюз и не отображаются ни в одной из внутренних банковских систем.
Carbanak 2.0
В 2015 году возродившаяся группировка Carbanak по-прежнему использовала инструменты, характерные для сложных атак класса АРТ, однако она расширила свои интересы. Теперь киберпреступники атакуют не только банки, но также финансовые и бюджетные департаменты любых организаций, в частности бухгалтерии. В одном из случаев, зафиксированных «Лабораторией Касперского», группировка проникла в корпоративную сеть финансовой организации, регистрирующей данные о владельцах различных компаний, и изменила информацию об одном из них на данные своего «дропа».