Пользователь
0,0
рейтинг
15 февраля 2015 в 11:07

Разработка → Хакеры совершили одно из крупнейших в истории банковских ограблений перевод

В конце 2013-го банкомат в Киеве начал выдавать деньги в совершенно произвольные моменты. Никто не вставлял в него карточки и не прикасался к кнопкам. Камеры зафиксировали, что деньги забирали люди, случайно оказавшиеся рядом в тот момент.

Но когда для расследования привлекли «Лабораторию Касперского», она обнаружила, что «сбрендившее» устройство — наименьшая из проблем банка.

На банковских компьютерах, с помощью которых сотрудники совершали ежедневные переводы и вели бухучет, было зловредное ПО, позволявшее киберпреступникам регистрировать каждый шаг. Согласно результатам расследования, ПО скрывалось там месяцами, отправляя видеозаписи и изображения, сообщившие преступной группе — в которую входили россияне, китайцы и европейцы — как банк совершал свои ежедневные операции.

Затем злоумышленники выдавали себя за сотрудников банка, не только включая устройства для выдачи денег, но и переводя миллионы долларов из банков в Россию, Японию, Швейцарию, США и Голландию на подставные счета.

В отчете, который планируется опубликовать в понедельник и который заранее предоставили The New York Times, «Лаборатория Касперского» говорит, что масштаб этой атаки на более чем 100 банков и других финансовых организаций в 30 странах может сделать это одним из крупнейших ограблений банков в истории — и при этом лишенным обычных признаков ограбления.



«Лаборатория» говорит, что из-за соглашений о неразглашении с пострадавшими банками она не может их назвать. Белый дом США и ФБР были уведомлены о найденном, но говорят, что потребуется время для подтверждения данных и для оценки потерь.

Компания заявляет, что через своих клиентов получила свидетельства кражи на $300 миллионов у ее клиентов, и считает, что общие убытки могут быть втрое выше. Но эту оценку невозможно проверить, потому что размеры транзакций при хищении были ограничены $10 миллионами (хотя некоторые банки пострадали неоднократно). Во многих случаях снятые суммы были скромнее, вероятно, чтобы оставаться незамеченными.

Большинство пострадавших организаций располагаются в России, но многие также в Японии, США и Европе.

Пока что ни один банк не признал кражу — типичная проблема, на которую обратил внимание Обама в пятницу, посетив первый саммит Белого дома по кибербезопасности и защите потребителя, прошедший в Стэнфордском университете. Он высказался в пользу принятия закона, который бы требовал публичного раскрытия информации о любом взломе, при котором была похищена персональная или финансовая информация.

Но консорциум, предупреждающий банки о злонамеренной активности — Центр анализа и обмена информацией между финансовыми службами — сообщил в заявлении: «Наши участники знают об этой активности. Мы распространили информацию об этой атаке среди наших участников», а также «некоторые брифинги были проведены правоохранительными органами».

Ассоциация американских банкиров отказалась от комментариев, и ее руководитель Дуглас Джонсон сказал, что группа будет считать единственным комментарием заявление консорциума. Следователи Интерпола сказали, что их сингапурские специалисты по киберпреступлениям координируют расследование совместно с правоохранительными органами пострадавших стран. Также было уведомлено голландское Dutch High Tech Crime Unit, подразделение национальной полиции, расследующее некоторые из самых сложных финансовых киберпреступлений.

Молчание вокруг расследования выглядит вызванным отчасти нежеланием банков признавать, что их системы оказались столь уязвимы, а отчасти тем фактом, что атаки продолжаются.

Управляющий директор североамериканского офиса «Лаборатории Касперского» в Бостоне, Крис Доггетт, заявил, что «группировка Carbanak», названная по используемому зловредному ПО, показывает повышение хитроумности кибератак на финансовые компании.

«Вероятно, это самая сложная атака в истории с точки зрения тактик и методов, использовавшихся киберпреступниками для того, чтобы остаться незамеченными», — сказал он.

Как и в случае с недавней атакой на Sony Pictures, которую Обама в пятницу снова назвал делом рук Северной Кореи, взломщики были очень терпеливы, разместив следящее ПО в компьютеры системных администраторов и наблюдая за их действиями месяцами. Свидетельства говорят о том, что в данном случае взломщики представляли не страну, а группу киберпреступников.

Но остается открытым вопрос о том, как афера такого масштаба могла продолжаться почти два года без того, чтобы банки, регуляторы или правоохранительные органы спохватились. Занимающиеся расследованием говорят, что ответы могут скрываться в методе хакеров.

Во многих отношениях этот взлом начался стандартно. Киберпреступники отправляли своим жертвам зараженные письма — новость или сообщение, приходившие якобы от коллеги — в качестве приманки. Когда банковские сотрудники кликали, они ненамеренно скачивали зловредный код. Это позволяло хакерам распространяться по сети банка, пока они не добирались до сотрудников, управлявших системами перевода денег или удаленно контролировавших банкоматы.

Затем, по словам сотрудников Касперского, злоумышленники устанавливали RAT — remote access tool — позволявшую получать видеозаписи и скриншоты с компьютеров сотрудников.

«Цель была в том, чтобы перенять их действия, — сказал The New York Times по телефону из России Сергей Голованов, ведущий расследование в «Лаборатории Касперского». — В этом случае все выглядит как нормальные, повседневные транзакции».

Преступники потратили много сил на то, чтобы изучить особенности системы каждого банка, в то же время заводя счета в банках США и Китая для перевода денег на них. Два человека, проинформированные о ходе расследования, говорят, что счета были созданы в J. P. Morgan Chase и Agricultural Bank of China. Ни один из банков не ответил на запрос комментария.

«Лаборатория Касперского» была основана в 1997-м и стала одним из самых известных примеров высокотехнологичного российского экспорта, но ее доле рынка в США мешало ее происхождение. Ее основатель, Евгений Касперский, изучал криптографию в вузе, который частично финансировался КГБ и Минобороны, и работал на российскую армию до открытия своей компании.

Когда приходило время нажиться на своих действиях — период, который расследование называет разнящимся от двух до четырех месяцев — преступники использовали несколько путей. В части случаев они использовали онлайновые банковские системы для перевода денег на свои счета. В других случаях командовали банкомату выдать деньги там, где поджидал один из сообщников.

Но самые крупные суммы были похищены взломом банковских учетных систем и манипулированием балансами. Выдавая себя за сотрудников, преступники искусственно завышали баланс — например, счет с $1 000 обрабатывался так, чтобы отображаться как счет с $10 000. Затем $9 000 выводились из банка. Настоящий обладатель счета не мог ничего заподозрить, а у банка требовалось время, чтобы разобраться, что произошло.

«Мы обнаружили, что многие банки проверяют счета лишь раз в 10 часов или около того, — сказал Голованов. — Так что в промежуток можно успеть поменять числа и вывести деньги».

Успех хакеров впечатляет. Как заявляет «Лаборатория Касперского», одна из компаний, являющихся ее клиентами, потеряла $7,3 миллиона через одни лишь банкоматы. В некоторых случаях деньги переводились через систему SWIFT, используемую банками для международных переводов. Она долго была целью хакеров — и так же долго за ней следили спецслужбы.

Доггетт сравнил большинство киберпреступлений с преступлениями в духе «Бонни и Клайда», когда грабители врываются, хватают все возможное и бегут. А в этом случае, сказал он, все «скорее похоже на «11 друзей Оушена».
Перевод: David E. Sanger и Nicole Perlroth
Константин Рукин @jjoker
карма
10,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (109)

  • +33
    Примечание от переводчика: текст отчасти странно построен (например, справка про «Лабораторию Касперского» внезапно вклинивается в слова о другом), но из песни слова не выкинешь, в переводе все дано точно как The New York Times написали.
    • +11
      да, интересная врезка, можно прочесть и не заметить подлога, а в подсознании отложится :)
    • –12
      Если бы эти таланты, да в нужное русло. Ведь 100% ребята наши «гуские». :( Ех. Кулибины, злые гении.
    • +7
      … взломщики были очень терпеливы, разместив следящее ПО в компьютеры и системных администраторов и наблюдая за их действиями месяцами.
      Очень опасные взломщики! Даже самих сисадминов смогли заразить!

      // не исправляйте, красиво получилось :-D
  • –1
    А в «Лаборатории Касперского» не уточнили на какой ОСи работали зараженные компьютеры и банкоматы?
    • +6
      В тексте NY Times об этом ничего не говорится, но, поскольку «Лаборатория» присутствует на Хабре, возможно, как раз тут в комментариях что-то пояснит.
    • +11
      Призываем Kaspersky_Lab
      • +30
        Вызывали? :)
        Технические детали будут завтра во второй половине дня, следите на Securelist.com. У нас завтра большое мероприятие начинается, на котором в том числе будем рассказывать и про это исследование.
    • –4
      В банкоматах в 90% случаев — винда.
      В банках на рабочих местах в 90% случаев — винда.
      Теперь угадайте. :)
      Собственно по этому и расхлёбываем.
      • –3
        Да я и не сомневаюсь. Просто интересно, кто нибудь задумается о смене ОСи на более безопасную, а админов на более квалифицированных, или опять начнется поиск козла отпущения?
        • 0
          Ну когда MS отказалась XP поддерживать, вроде часть банков задумалось о использовании Linux на банкоматах… я про это даже новость читал, но сейчас ссылку уже не дам.
          Но боюсь это слишком большие расходы к которым они просто не готовы. Пока дешевле видимо утечки.
        • +7
          админов на более квалифицированных

          Вот это будет и дешевле и полезнее, чем ОС менять.
          • 0
            Толку если банкоматы живут на версиях Windows у которых закончилась поддержка? Да и MS особо не отличалась скоростью латания дыр.
            • +3
              А толку менять ОС, если администраторы так и не начнут чесаться, чтобы использовать имеющиеся механизмы и методики защиты ОС и оставят тот же бардак в сети?
              • +1
                Толковым администраторам надо платить, а в большинстве банков айтишник на уровне уборщицы (даже толковый).
                • 0
                  Вы про зарплату?
                  • 0
                    Не только, а вообще об отношении.
                    Зря, кстати, минусуете.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Болезнь толстых безлимитных каналов.
              А проверка всё равно на совести it-шников останется.
              Во многих банках, безусловно, они грамотные. И служба безопасности не зря свой хлеб кушает. Но ведь не во всех же такая ситуация.
              Где-то СБ — дубовые ребята из бывших сотрудников органов и иже с ними, it-шники безответственны. Чем не готовая почва для проращивания вот таких вот проблем? Уверен, что это не единичное явление.
        • +9
          о смене ОСи на более безопасную
          Да как вы еще не поймете, что во первых безопасность большей частью зависит от кривизны рук админа, а во вторых — в случаях таргетированных атак глубоко фиолетово на то, какая ОС стоит, главное что дыры есть во всех и если на кону большие деньги — эти дыры найдут хоть в калькуляторе.
          Хотя скорее просто тролль.
          • +1
            Да в калькуляторах и без «больших денег на кону» уязвимости регулярно находят. Начиная с TI-85 и кончая TI-Nspire.

            Нашли чем удивить.
        • +1
          Большинство взломов использует т.н. человеческий фактор. Дыры в ОС составляют небольшой процент. Так что это не поможет.
          • 0
            Думаете директору банка обязателен root доступ?
            • +1
              Обязателен. Потому что иначе его любимая игрушка не стартует. А объяснять, что это плохо влияет на безопасность вы будете кому-то, кто не может вас уволить.
              • 0
                У меня был случай когда безопасники, не ИТ, а обычные сперва ходили и всем заклеивали USB разьемы. А потом сами же вставляли завирусованную флешку какогото своего «друга», который им новую базу проблемников принес.
              • 0
                Не встречал игр, которые не запускаются без рутового доступа.
                • 0
                  Старая игра, которая зачем-то в свой хомяк пишет, который располагается в C:\Program Files\ и пофиг на то, что системный раздел на D: расположен. Естественно, производитель не говорит какие именно права нужны игре. Почти наверняка можно раскопать на какие именно ветки реестра или каталоги ей нужны права, но на это надо время.
                  PS: Дочитал до «не про Windows»
            • +1
              Не думаю. Но по опыту работы начальником отдела АСУ в банке могу сказать что это бывает необходимо.
              Там очень много разнообразного софта. И некоторый написан так, что работает только под рутом например.
              Тут в комментах как раз такой случай описан.
              • 0
                Вообще, в винде есть шимы которые позволяют имитировать работу под рутом для конкретной программульки и, если повозиться, наверное, можно свести ущерб к минимуму.
              • 0
                Я говорю не про Windows.
      • +1
        Кстати, в Приватбанке с некоторых пор все на линухе.
        • +2
          Большинство всего. Но банкоматы все же исключение из-за аппаратных привязок. В субботу наблюдал лого Win на «заглючившем» банкомате
          • 0
            Ну по крайней мере сложнее отправить сотрудникам письмо с файлом «интимные_фото_люси_из_бухгалтерии.jpg.exe»
      • +3
        В начале декабря, когда поддержка XP уже 8 месяцев как закончилась, встретил банкомат Сбера, вывалившийся в рабочий стол, фоном был TellME Security. Проводник, панель управления, реестр, всё открывалось!
        Отправил на перезагрузку и подождал, пока не покажет заставку о том, что не работает. Он ведь сначала ещё в командной строке свои процессы описывает. Вот это безопасность, респект таким банкам! Даже используя выпущенную 13 лет назад ОС, вываливающуюся из киоск-режима в рабочий стол, он остаётся самым популярным в стране.
        • 0
          После сбоев в их Оракле я отказался от услуг этого банка.
        • 0
          Не в защиту сбера, но у вас есть альтернатива? В моем родном городе выбор не большой.
          Кроме того, основными вкладчиками вряд ли являются читатели хабра.
          • 0
            В нашей «большой деревне» альтернатив как грязи :).

            В соседнем здании, кстати, с тем же Сбером другая проблема была: наклеили бумажку, что банкомат не работает, а на самом деле он работает и карты принимает, вот только кнопки не нажимаются, и карту обратно не отдаёт. Уж трём девушкам подряд помогал, в итоге карта по тайм-ауту отдавалась. По звонку в Сбер регистрировалась «заявка», типа мне перезвонят, а просто по номеру банкомата послать команду на выключение нельзя было.

            Задолго до всего этого заказывал на сайте карту с индивидуальным дизайном, ближайшего отделения в списке не было, так как после ремонта недавно открылось, так потом ещё у них в базе «идентификатор индивидуального дизайна» не прописался. Да пошли они, так в итоге и не забрал её.
            • 0
              В «большой деревне» согласен, но родом я не оттуда. И когда действительно, встал вопрос о сохранении средств, которые можно забрать где угодно, то выбор был между ВТБ и Сбером. В первом предложили меньший процент.
              А вообще, со всем вышеописанным согласен. И сам не пользуюсь кредитками Сбербанка. Только вклады.
              • 0
                Тиньков? Если ограничение на снятие минимум 3 000 рублей не беспокоит, то можно снять в любом понравившемся банкомате.
      • 0
        Не был бы столь категоричным. Если взять, к примеру Украину, то в 90% случаев (утрирую) банкомат Приват Банка, 90% банковских рабочих станций тоже Приват Банк. Приват-Банк — рабочие станции Linux, Банкоматы Linux.
        Но это отвлечение, на Ленте есть кое-какая техническая информация lenta.ru/news/2015/02/16/yardhack/
        Судя по всему, заражались виндовые станции.
  • –9
    Желтизна желтизной. Очередной вброс чтобы подогреть интерес к «антивирусному» ПО.
  • +22
    … Евгений Касперский, изучал криптографию в вузе, который частично финансировался КГБ и Минобороны, и работал на российскую армию до открытия своей компании.
    Когда приходило время нажиться на своих действиях....

    По сути верно, чо :)
  • +19
    > В конце 2013-го банкомат в Киеве начал выдавать деньги в совершенно произвольные моменты. Никто не вставлял в него карточки и не прикасался к кнопкам.
    > сообщившие преступной группе — в которую входили россияне, китайцы и европейцы — как банк совершал свои ежедневные операции.
    > Большинство пострадавших организаций располагаются в России, но многие также в Японии, США и Европе.

    Россия, Пермский край, Косинский район, село Киев

    Вот оно что
  • +3
    это группа Анунак, о которой Group-IB и FOX-IT написала еще в декабре.
    Технический отчет можно прочитать тут — www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf

    А новости тут:
    www.forbes.com/sites/thomasbrewster/2014/12/22/anunak-hackers-who-hit-staples/
    www.forbes.ru/tekhnologii/internet-i-svyaz/276227-brat-po-krupnomu-kak-odna-gruppirovka-khakerov-ograbila-bolee-50
  • +6
    В общем-то, для любого, кто общался с банковскими IT-никами, подобный вариант развития событий новостью не будет.

    Регламенты, сертификация, бумажки, подписи. А в итоге сервера онлайн-банкинга неделю-две торчат наружу после публикации информации о heartbleed, и ещё полгода после этого не меняют сертификаты.
    • 0
      Ну дык они торчат наружу именно потому, что «регламенты, сертификация, бумажки, подписи». Для широкой публики это всплыло когда история с Dual EC DRBG обсуждалась.

      То есть банками приходится выбирать между:
      1. Получением сертификатов, красивыми рекламными слоганами и выполнением регламентов.
      2. Обеспечением безопасности.
      Догадайтесь с трёх раз что они выбирают. Зачастую у них и выбора-то нет, так как они по закону кой-какие вещи соблюдать обязаны.
      • 0
        Ну я примерно тоже самое и сказал)
  • +56
    Вся чистая правда. Я занимался расследованием одного такого нападения. Возможно это была другая группа — но методы совершенно те же. Банк был довольно маленький, прямо карманный, каких много в России, поэтому они сразу увидели что у них ночью были транзакции корпоративных клиентов которые по ночам не работают. Пошло расследование и было обнаружено практически все что описывается в статье.
    Внедрение происходит письмом «от центробанка» одному из руководителей, чьи емейлы доступны в открытом доступе. Какой-нибудь зам. директора публичный. Приходит письмо типа «новые регулирования валютного контроля от ЦБ» с вложенным документов ворда, в котором 0-day дроппер скачивающий утилиту удаленного контроля. С этой точки входа начинается распространение внутри организации — сначала разбрасывается прямо с этого компа по сети софт под логином этого пользователя, софт который ищет в памяти пароли админов (если вы не в курсе в винде есть такая брешь — если админ логинился на комп до перезагрузки в оперативной памяти можно найти его логин). По получению логинов админа внедряются утилиты удаленного управления на компы сливающие отчеты на сервера управления по 80-му порту по http. Не подкопаешся — обычная веб-активность.
    Сливаются скриншоты, пароли, все-все-все.
    Если вы думаете что нужно заражать какие-то сложные банковские системы под AIX — это все блажь. Все эти системы имеют терминалы для работы с ними под винду, или веб интерфейсы — достаточно отснифать пароль с правами проводить транзакции и дело в шляпе. Даже если одна система авторизует по ключу — всегда есть другая система в которой просто пароль. Банк это дикая смесь разного софта. В группировке явно трудятся люди работавшие раньше в банках, потому что зходят на совершенно экзотический софт получив пароль и сливают деньги. Заходят ночью с vps'ок из разных стран на удаленное управление и прямо с компьютеров банка из клиентский утилит все льют.
    Приходят действительно через месяц-два после заражения, видно что люди работают по площадям и сами иногда путаются что где — могут несколько раз пытаться войти под логином которого в данной организации вообще нет, какой-нибудь IvanovSG, когда в этой оргнанизации все логины вида s.g.ivanov.
    • –4
      хакеры, лол :)
    • +2
      Прям романтика! Или это я в GTA V переиграл? :)
    • +2
      в винде есть такая брешь — если админ логинился на комп до перезагрузки в оперативной памяти можно найти его логин

      А у вас нет, случаем, ссылки с подробностями?
      • +4
        mimikatz
        • 0
          Без повышения привилегий не работает, как я понял? То есть был какой-то 0-day на повышение привилегий?
          • +5
            Его просто раскидали по сети под аккаунтом обычного пользователя пока не попали на комп где пользователь — локальный администратор. Это был какой-то выделенный комп для банк-клиентов и связи с другими банками. Знаете, у нас многие банк-клиенты пишутся так, что их инструкция начинается со слов «войдите под учетной записью администратора». Локального админа достаточно.
            Плюс когда я смотрел на все это безобразие у меня создалось впечатление что ей даже администратор не особо нужен чтобы получать пароли неадминистраторов. Очень бойкая утилита, — одна из немногих которая поразила меня в плане что на винде можно сделать из того что ты даже не подозревал.
            • 0
              Под 8.1 по-крайней мере без повышения привилегий не заработало — ошибка доступа. Но так-то, конечно, занятная утилита, мне понравилась.
      • 0
        WCE
    • 0
      А если ли у вас какие-то рекомендации по настройке винды, чтобы обеспечить большую безопасность. Первое что приходит в голову запретить чайникам выполнять программы из трех мест куда они могут записать.

      Но вот как быть с 0day непонятно — air gap? Всяческие средства снижения вероятности эксплуатации типа emet?
      • +7
        Мое дело небольшое, я что-то вроде наемного сыщика пост-фактум. Насколько я знаю банк нанял специалиста по безопасности — отдельного человека который разрабатывает адекватные регламенты, чтобы не парализовать работу банка с одной стороны, но и предотвратить какую-то часть угроз с другой стороны, и внедрил что-то вроде системы контроля целостности — с отчетом об изменении состоянии систем. Есть несколько мест которые меняются не часто, и которые эксплуатируются такими атаками — например список сервисов на компьютере. Достаточно делать отчет изменений и просматривать его каждый день на предмет появления сервисов чтобы отловить что-то лишнее. Плюс поставили систему слива всех логов со всех машин на одну центральную в сети которая пишет все эвенты и там стоят какие-то фильтры которые отслеживают неудачные логины и вообще логины с не адресов внутри сети. Плюс поставили логгер попыток соединений между сетью и интернетом по самым популярный портам удаленного управления — TeamViewer, VNC, RDP и т.д. с отчетом так же.
        В целом получается что атаки развиваются не мгновенно и если следить за изменениями по определенным местам можно найти подозрительную активность даже имея тысячу компьютеров. Но, к сожалению, нужен отдельный человек который не «закопается в других делах» для этого.
        • 0
          Пока гром не грянет ИБ сидит в разделе несущественных рисков, что-то из области фантастики из фильмов про хакеров.

          2 месяца нахождения в системе это просто очень много, никаких контролирующих процессов просто не было.
          Нет процессов, нет результат.
          Сразу вспоминается взлом сети Target. Там даже антивирус среагировал, только логи не кому было смотреть.
        • +10
          Мое дело небольшое, я что-то вроде наемного сыщика пост-фактум.

          Кстати, было бы очень интересно почитать про «расследования» подобных успешных (да и не успешных) атак на организации. Не хотите написать статью?
    • +11
      А еще это часто происходит, потому что всякие замы — частенько родственники, которые строят из себя невесть что, и когда админ банка им поясняет политику безопасности, они плюют на это свысока, а потом считают, что админ виноват.

      Сори, наболело.
  • 0
    пока вот что официальные источники пишут www.kaspersky.ru/about/news/virus/2015/ugroza-na-milliard
  • +39
    Кстати в пику рекламе касперского могу сказать что 0-day дроппер с которого начинается заражение он прошляпил, и вылечил только через примерно 20 дней постфактум (сняли образ машины с которой началось заражение и вертели его в виртуалке как могли, касперский верещал при наведении на изначальное письмо только после обновления баз приходившее через 20 дней после прихода письма). А все утилиты которые внедряются — легитимные утилиты которые вирусами не считаются. Ставятся всякие psexec из набора sysinternals, VNC сервера переименованные в неприметные сервисы и утилиты обратного соединения (когда машины соединяются с сервером контроля, на котором ее ждут чтобы попасть на десктоп) от совершенно легальных производителей. На которые касперский как бы в принципе не реагирует, потому что это не вирусы. На той самой изначальной машине касперский даже не моргал пока не откроешь то самое письмо двадцатидневной давности — потому что дроппер ставил легальные утилиты и сам себя удалял. Так что все это классно, но по итогам бесполезно. Только статьи такие писать о том что триста миллионов уже украдено.
    • 0
      Эхх… Именно поэтому считаю все это антивирусное ПО пустой тратой денег. От серьезных атак оно ничуть не спасает. Да и вообще, если ОСи для нормальной работы нужно стороннее ПО, это наводит на нехорошие мысли.
      • +3
        Действительно их в пору переименовать во что-нибудь типа «модуль автоматической проверки известных угроз».
    • +1
      Спасибо за ваш опыт.

      Интересно, что легитимное ПО все больше и больше применяется для использования в противоправной деятельности.
      Аналогично сталкивался с фактами вымогательства посредством шифровальщика. Шифровальщик был построен на обычном pgp-движке, в котором антивирусы не видят ничего подозрительного.
      Никакого дроппера не понадобилось, просто обманом заставили юзера запустить скрипт.

      Может это уже тенденция? Раньше применяли различные виды обфускации для обмана антивирусов, писали изощренные трояны, а теперь поняли, зачем так заморачиваться, если полно легитимного ПО выполняющего нужные злоумышленнику действия.
      • +7
        Раньше применяли различные виды обфускации для обмана антивирусов, писали изощренные трояны, а теперь поняли, зачем так заморачиваться, если полно легитимного ПО выполняющего нужные злоумышленнику действия.
        Скорее иначе. Зачем напрягаться, если полно идиотов, которые выполнят любую дурь и деньги принесут на блюдечке?
      • 0
        «просто обманом заставили юзера запустить скрипт.»

        Социальная инженерия, что в общем-то не новости. А дальше уже не важно какие используются утилиты для кражи данных. Выше Mnemonik написал хороший пример с письмом «от центробанка».

        «Может это уже тенденция?»

        Тенденция людей все больше не обращать внимания на очевидные вещи, а главное их проверять. Наверное это связано с обилием информации, которая выросла в разы? + Рост мобильных устройств, где потребление контента сводится к «одному клику», что в свою очередь тем или иным образом сказывается на поведении c остальными устройствами. У людей просто не остается времени на проверку информации, зато есть огромное желание сделать клик и получить контент.

        Не имею антивирусов на ПК (ставя отдельные утилиты для единоразовой проверки раз в 2-3 месяца) и вот что заметил — вирусов оказалось намного меньше (если вообще нет) чем при наличии антивирусного ПО. Стал больше внимателен и требователен к контенту который я хочу получить.
        • +11
          Да, письмо было высший сорт. Если бы я его все-таки не откопал роясь уже аж на два месяца в глубину от даты перевода денег — так бы и искали черт знает что. Потому что по всем логам точка входа была на компьютере члена правления банка, но когда я на этом настаивал мне все говорили — какой смысл члену правления банка красть деньги у банка таким способом когда он может и так просто их оттуда взять?..
          Зато когда я вывалил факты — задали вопрос уже большому директору «как же так, ну тебе что, центробанк часто письма пишет сам?». На что он сказал — ну ребята, вы сами знаете ситуация какая, все сидят как на иголках никто ничего не знает что дальше будет, а тут приходит письмо (все заголовки зафорджены в info@cbrf.ru) с темой «валютное регулирование бла-бла-бла (написанное канцелярмтом)», официально оформленное и с прикрепленным документом. Вы бы не открыли?
          • +1
            Пора вводить обязательные тесты & курсы по информационной безопасности, cерьезная тема. Было бы интересно провести эксперимент в больших компаниях на эту тему, уверен что был бы запредельный % сотрудников которые с удовольствием прочитали фишинговые письма, скачали аттачи или перешли по ссылкам.

            Получил официальные письма от сервисов на тему финансов или личных данных? В первую очередь проверь исходники письма.
            • 0
              Это просто звидзец.
              Приходит одному офисному работнику в маленьком городке на Волге письмо, с заголовком вида Your monthly gas receipt, с вордовским аттачем.
              На вопрос: где ты заправлялся, и где оставлял мыло, что тебе ресипты аж с самой Британии шлют? Работник не нашелся что ответить. Но аттач, как выяснилось, открывал.
              • 0
                А по какой причине открытие атача должно привести к заражению?
                • +1
                  А по какой причине в аттаче не может быть 0-day dropper'а?
                  • 0
                    По статистике :), наверное. Я тут думаю, что если вы не иранская ядерная программа именно ваши шанся столкнуться с 0 day будут минимальны. По какой причине в винде, почтовом клиенте, почтовом сервере и пр. может не быть 0-day dropperа?
                    • 0
                      В примере от Mnemonik выше с письмом «от центробанка» директор тоже думал что его «шансы минимальны». В аттаче может быть что угодно, даже если вы не «ядерная программа», и таких примеров заражения машин домашних пользователей много. Вы же сами написали ниже — «я не специалист по безопасности», так к чему этот вопрос про зараженный аттач если практика говорит об обратном?
                      • 0
                        Я так понял, проблема была не в 0day, а в том, что у пользователя не была заткнута дырка 2012 года. Вопрос к тому, насколько можно организовать безопасность, условно, на планшетном уровне. Например, часто ли в вашей практике случается 0day? Можно ли закрыть настройками так, чтобы обычные действия не приводили к заражению, а не обычные были легко отделены от обычных?
                        • +6
                          Вы (все участники), как мне кажется, в этом обсуждении слишком концентрируетесь на конкретном случае. Да, там была куча нелепостей одна на другой — и дыра 2012 года, и пользователи с паролем «1», и локальные администраторы и бессмысленные правила на фаерволле — много было глупостей которые вычищали поганой метлой. Суть в том что имеет значение только точка входа, это как дырочка в воздушном шарике — проморгал и ничто уже особо не поможет, разве что чуть затруднит распространение. И думать что «у меня такого никогда не случиться, потому что я делаю все что в этом описанном случае было сделано неверно» — очень самонадеянно. Эта конкретная атака нашла эту брешь, ничего не мешало бы попробовать тоже самое, но с более новым эксплоитом через две недели, или изобрести какой-то другой способ забросить внутрь дроппер. Тот же самый флэш-плеер с адоб-ридером обновляются чуть ли не каждую неделю, а знаете как иногда люди работают на ноутбуках? Пришел из отпуска, после длительной командировки за рубеж, открыл ноут который не использовался до этого месяц потому что не нужен был, и давай на нем срочную почту читать. Вот тебе и два месяца не обновленный софт.
                          Основная интересная идея всего этого рассказа о том какие бывают схемы взлома — с ловкой социальной инженерией, заброской легального софта и мимикой реального поведения переводящих деньги людей. Схема практически на 90% не нуждающаяся в 0-day эксплоитах, только на одном маленьком участке который вполне реально проморгать, поэтому расслабляться не стоит.
                          • 0
                            Мне вот интересно, насколько можно минимизировать эти риски техническими средствами.

                            Например, чтобы уязвимы были не все директоры, а только пришедшие из отпуска. Или что бы и они сначала дождались загрузки критических обновлений, а потом лезли в сеть.

                            Я пока вижу (и не только по этим примерам), что в основном виноват недостаток паранойи у администраторов и грамотными настройками можно было бы предотвратить большинство угроз, про которые рассказывают.
                            • +3
                              Вы очень концентрируетесь на словах «аттач», «0-day» и «директор с ноутбуком». Статья о том что «можно перевести 300 миллионов долларов из банков сломав только документ в ворде» — согласитесь, довольно экзотическое заявление, оказывающееся на проверку чистой правдой. Ведь из «сломанного» реальным эксплоитом была только точка входа. Весь интерес как раз в том что было дальше. Если вы будете так концентрироваться на 0-day, обновлениях и политике ноутбуков — есть шансы обнаружить что весь банк давно в ammy admin'ах потому что кто-то отснифал пароль от вай-фай точки сидя в машине под окнами банка. Или просто воспользовавшись тем или иным навыком социальной инженерии воткнул флешку в компьютер оператора.
                              • 0
                                Ну у каждого свой интерес. Конечно дальше тоже должны быть переборки безопасности. Просто мне организационные меры менее интересны чем технические.
                        • 0
                          В общем-то и я не имел в виду конкретно 0-day в аттаче, но мне показался странным сам вопрос.

                          «по какой причине открытие атача должно привести к заражению»?

                          «Можно ли закрыть настройками так, чтобы обычные действия не приводили к заражению»

                          Открытие зараженных аттачей и переход по ссылкам в фишинговых письмах можно обезопасить в первую очередь только наличием собственной внимательностью человека. Наличие антивирусов, фаерволлов с правилами и прочих систем наблюдения за ресурсами и сервисами, системных логгеров не даст 100% защиты от случайных заражений и целенаправленных атак.
                          • –2
                            Я считаю, что софт должен помогать внимательности человека (например, как браузер делает более ярким доменное имя). И правила работы с ним должны быть простыми (типа если в результате нормальной работы затеняется экран и выводится запрос, надо нажимать нет — на этом уровне).

                            Открытие какого бы то ни было атача не должно само по себе приводить к заражению.
                            • +1
                              Может тогда вообще не давать «садиться человеку за руль»? Сколько не вешай знаки на дорогах, светофоров, не ставь навигаторов а аварий и дураков на дорогах от этого не меньше.

                              «Открытие какого бы то ни было атача не должно само по себе приводить к заражению.»

                              Согласен, если человек 100 раз подумал перед тем как «садиться пьяным за руль».
                              • 0
                                Может и не давать. Если автоматическое управление автомобилям допилят, может стоит и права на полностью ручное управление давать более разборчиво и с каким-нибудь геморроем или налогом внагрузку.
                • 0
                  Ну, скорее всего потому, что данное письмо упало помимо него, как оказалось позже, всем сотрудникам данного офиса.
            • 0
              В одном банке безопасники раскидывали флешки по этажам — у общего принтера, в переговорных, в столовке, в спортзале и т.п. Те, кто вставляли флешку в рабочий компьютер, автоматически получали письмо с приглашением на беседу об информационной безопасности.
          • 0
            Что говорит вирустотал об этом письме?
        • +3
          Социальная инженерия это вообще отдельная большая тема.
          Есть ситуации, которые вызывают удивление — как же так? как она/он попались на такую простую удочку?

          Но бывает дело даже не в обмане, а в текущем положении вещей и процессов.

          Я уже писал про пример Снабженца, человека который постоянно принимает предложения от различных поставщиков с различных адресов и которому приходит «предложение на поставку».
          Он по должностной инструкции должен открыть и прочитать.

          Многие компании вывешивают вакансии и адрес для приемки резюме. Вот и приходит в один прекрасный момент кадровику приходит «резюме».

          Был случай в практике, когда пошли и обходным путем, зашли с черного хода. Взломали контрагента и сделали с его адреса заряженную рассылку по цели.

          Такие факторы не закрыть на 100 процентов только внимательностью и осведомленностью.
          • 0
            Я не специалист по безопасности, но мне кажется надо такие вопросы решать замыканием дыр, а не отловом того, что пытается их эксплуатировать. Только не очень понятно, что делать с 0day. Может, стоит выселять кадровиков и снабженцев во какое-то изолированное гетто с особыми требованиями по безопасности? Типа со внешней работаем внутри вступали с порезанными правами из кордовских документов копируем текст если надо.
            • +1
              Решается комбинированной многослойной защитой. И антивирус, кстати, это один из слоев, как и обучение пользователей.

              0day избежать нельзя, но можно смягчить последствия, есть много инструментов под различные OS. Про некоторые я делал публикации.
    • 0
      Вот и хваленый эвристический анализ, но при этом волком воем на обычный ammyy admin и ни чуть не стесняясь пропускаем десятки альтернатив.
      • 0
        кстати, подняв тему вы вытаскиваете из памяти (все-таки это было год назад) все эти названия — поставлен был именно ammy admin с конфигом на сервера на впс-ах. Тогда (год назад) касперский его совершенно не боялся. Видимо с тех пор внесли из-за этих самых взломов. Но опять же, как вы правильно заметили, алтернативы найти не проблема.
    • +6
      Не в защиту касперского, но все таки скажу что упомянутый вами документ Word:

      Приходит письмо типа «новые регулирования валютного контроля от ЦБ» с вложенным документов ворда, в котором 0-day дроппер скачивающий утилиту удаленного контроля.


      Это вовсе не 0day, а уязвимость CVE-2012-0158, которая была пропатчена в апреле 2012 года. А это значит что как минимум 2 года люди жили без обновлений.
      • +2
        Не удивлюсь, если в банках, как и в 60% всех гос. учреждениях используются пиратские копии Windows, отчего они и не обновляются.
        • 0
          Ничто не мешает обновлять пиратскую копию
      • +2
        не уверен. обновления там были на уровне компании, и на антивирус тоже. ИБ там была на довольно низком уровне, но именно на этом — поставить все обновления и на этом закончить. возможно это был «полуличный» ноутбук директора не попадающий под политику разливки обновлений домена по тем или иным причинам, за это не ручаюсь.
        но неужели в ворде всего одна уязвимость?
        • +2
          Уязвимостей действительно много: http://cve.circl.lu/search/microsoft/office

          Но вот таких, для которых можно было бы создать эксплоит, который бы отрабатывал с высокой вероятностью на большинстве версий — мало. CVE-2012-0158 одна из таких, поэтому часто используется.

          Если иметь пропатченный офис и ОС, то в таком случае можно избежать заражений. Конечно пропатченный офис не защитить от трюков социальной инжинерии типа .doc.scr или RLO (Right-to-Left Override).

          PS: В соседнем топике говорится имено про CVE-2012-0158
          • 0
            То Насти получается, что первопричина в том, что кто-то народно отключил самообновление?
            • 0
              А как его отключишь без привилегий администратора?
              • 0
                Я так понял был ноутбук директора, который не присоединен к домену. Амином, наверное, был там сам директор. Офис при первом запуске спрашивает, как ему обновляться. Для обычного человека обновления — это что-то раздражающее, заставляющее перезагружаться может поэтому от отключил. Еще я не знаю, что происходит, если нажать «Отмена» в этом окне.
                • 0
                  В-общем, обычный бардак в сети всему виной.
          • +7
            Да, соседний топик хорош. Скорее всего все так и было. Вполне возможно что тут сиграл второй вариант — директорский ноутбук не попадающий под доменную политику по той или иной причине.
            Тут радует только одно — тот банк которому я помогал после первого же вывода денег сумел и вернуть эти деньги арбитражем отменив платежи, и с моей помощью захлопнуть дверцу на следующий же день. Было много срабатываний введенных мер безопасности в последующие дни — и входящие попытки коннектов внутрь, и исходящие попытки с разных машин внутри сети на установленные сервера контроля, которые тут же отправлялись в карантин, но деньги больше не были потеряны ни разу.
  • –6
    > Большинство пострадавших организаций располагаются в России

    Почему-то не удивлен.
  • +3
    Странно, почему они не создали свой банк в какой-нибудь Украине, откуда спокойно забрали бы деньги, не парясь с банкоматами?
    • +1
      Денег на уставный капитал не было наверное.
  • 0
    Потом Голливуд снимет про это фильм.
  • 0
    Один мой знакомый за последние 10 лет успел поработать примерно в 5 банках. Везде ситуация одна и та же: интернет на всех рабочих местах, сотрудники лазят по разным сайтам на том же самом компьютере, который обрабатывает важную банковскую тайну. Поймать заразу при таком подходе — раз плюнуть. В некоторых банках не было даже firewall-а. Шлюзом на всех компьютерах стоит «конец» провайдера. В серьезных компаниях у нас и за границей корпоративная сеть отделяется от сегмента интернет. Где то они разделены физически и для работы в интернете стоят отдельные персоналки. В других местах используются терминальные решения на более защищенных серверах, стоящих в DMZ.
    • +1
      В соседнем проекте пишут банковский софт. Интернет через прокси, практически зарезан. Скайп отрублен, включен только у отдельных под расписку начальства, в туалет по пропускам.
      Разработчики, которые работают над особо важными компонентами практически обыскиваются перед входом — мобилки и флешки изымаются, возвращаются в конце рабочего дня на выходе.

      И это так мучаться, чтобы потом софт ставить в ТАКИЕ банки?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.