Cum sa jefuiesti o banca, in stil cibernetic. Cazurile Metel si GCMAN

 

Expertii companiei rusesti de securitate informatica Kaspersky au identificat doua noi grupari infractionale care ataca organizatii financiare.

Gruparea de infractori cibernetici Metel are numeroase tehnici in repertoriu, dar este interesanta in special pentru o modalitate de operare deosebit de inteligenta: obtin control asupra aparatelor din interiorul unei banci, care au acces la tranzactiile cu numerar (de ex. call center-ul bancii, computerele care asigura suport tehnic) si, astfel, gruparea poate realiza automat rollback – intreruperea tranzactiilor la bancomat si revenirea la stadiul anterior.

Prin rollback, balanta pe cardurile de debit ramane la fel, indiferent de numarul de tranzactii facute la bancomat. In exemplele identificate pana in prezent, gruparea infractionala fura bani mergand cu masina prin orase din Rusia, noaptea, si golind bancomatele de la mai multe banci, folosind de fiecare data aceleasi carduri de debit emise de banca al carei sistem a fost afectat. Reusesc astfel sa obtina bani pe parcursul unei singure nopti.

In timpul investigatiei, expertii Kaspersky Lab au descoperit ca membrii Metel reusesc sa infecteze initial un sistem prin email-uri de phishing create special, ce au in attach documente malware, si prin intermediul pachetului de exploit-uri Niteris, care vizeaza vulnerabilitatile din browser-ul victimei. Odata patrunsi in retea, infractorii cibernetici folosesc instrumente legitime si teste de vulnerabilitate (pentesting) pentru a avansa, obtinand acces asupra sistemului de control al domeniului local si, in cele din urma, localizand si obtinand control asupra computerelor folosite de angajatii bancii responsabili cu procesarea cardurilor.

Metel 1 Metel 2

Grupul Metel este inca activ, iar investigatia asupra actiunilor lor este in derulare. Pana acum, nu au fost identificate semne ale unor atacuri realizate in afara Rusiei. Totusi, exista motive de suspiciune ca actiunile lor sunt mult mai raspandite, iar bancile din toata lumea sunt sfatuite sa verifice daca nu cumva au fost infectate.

Gruparile identificate isi schimba metodele de actiune, recurgand la programe malware si software legitim in operatiunile lor frauduloase. Filosofia lor e simpla: de ce sa scrii o multime de instrumente malware personalizate, atunci cand metodele legitime pot fi la fel de eficiente si, in plus, declanseaza mult mai putine semnale de alarma.

Dar ca abilitati de a se ascunde, gruparea GCMAN merge si mai departe: uneori poate ataca cu succes o organizatie fara sa foloseasca malware, doar cu instrumente legitime si de testare a vulnerabilitatilor. In cazurile identificate de expertii Kaspersky Lab, acestia au vazut gruparea deplasandu-se in interiorul retelei, pana cand atacatorii au gasit un aparat ce putea fi folosit pentru a transfera bani catre servicile de moneda electronica, fara sa alerteze alte sisteme bancare.

Intr-unul dintre atacuri, infractorii cibernetici au ramas conectati la retea timp de un an si jumatate, inainte de a declansa furtul. Banii au fost transferati in sume de aproximativ 200 de dolari, limita superioara de plati care pot fi efectuate anonim in Rusia. La fiecare minut, organizatorul Cron declansa un script malware si o alta suma era transferata in conturi de moneda electronica apartinand unui intermediar. Ordinele de plata erau trimise direct, fara sa apara nicaieri in sistemele interne ale bancii.