Спецпроекты

«Касперский» обнаружил принципиально новый тип атак на банки

3650
Безопасность ИТ в банках

С помощью дешевых ноутбуков, компьютеров RaspberryPi и устройств BashBunny, киберзлоумышленники украли несколько десятков миллионов долларов из банков в Восточной Европе.

Запрятанный подкидыш

«Лаборатория Касперского» отметила новую разновидность атак на банковские организации, распространившиеся изначально в Восточной Европе. Примерный ущерб от произошедших инцидентов составил несколько десятков миллионов долларов.

В 2017-2018 гг. эксперты «Касперского» участвовали в расследовании нескольких цифровых ограблений банков, где преступники применяли весьма нестандартную схему: перед началом атаки в инфраструктуру банка внедрялось (или, как выразились расследователи, «подбрасывалось») аппаратное устройство, которое физически подсоединялось к корпоративной сети и пряталось. Найти его удаленно оказывалось почти невозможно.

Злоумышленники использовали как минимум три вида гаджетов: ноутбук (как правило, недорогой нетбук), RaspberryPi (одноплатный компьютер) и BashBunny (специально разработанный инструмент для автоматизации и проведения USB-атак). Эти устройства могли быть также дополнительно оснащены GPRS-, 3G- или LTE-модемом, чтобы обеспечивать удаленное проникновение в корпоративную сеть организации.

В ходе атак киберпреступники пытались получить доступ к общим сетевым папкам, веб-серверам и рабочим станциям, а украденные данные использовались для подключения к оборудованию, предназначенному для осуществления платежей или содержащим другую полезную для злоумышленников информацию.

nout600.jpg
Злоумышленники «подбрасывали» в банки нетбуки и грабили их

На сегодняшний день известно по крайней мере о восьми банках в Восточной Европе, которые были ограблены таким образом. Эксперты «Касперского» дали этим атакам общее название DarkVishnya.

Физический троянский конь

После успешного закрепления в инфраструктуре финансового учреждения злоумышленники использовали для удаленного управления легитимное ПО, что дополнительно осложняло обнаружение источника проблем. Благодаря применению бесфайловых методов и PowerShell, им удавалось обходить белые списки и доменные политики безопасности. Другие инструменты, используемые злоумышленниками, – это Impacket, а также winexesvc.exe или psexec.exe для дистанционного запуска исполняемых файлов.

Денежные средства выводились затем через банкоматы, вероятно, не без традиционного уже участия «денежных мулов».

«То, что у преступников была возможность и подключить постороннее устройство в корпоративной сети, и спрятать его, говорит либо о недостатках физической безопасности банков, либо о причастности к ограблениям инсайдеров, — полагает Олег Галушкин, директор по информационной безопасности компании SECConsultServices. — То, что корпоративная сеть “принимала” посторонние нетбуки или Raspberry, заставляет предположить, что системы контроля устройств в этих банках нуждались в улучшении, а открытый и внутренний сегменты корпоративной сети недостаточно надежно изолированы друг от друга. В целом с таким физическим “троянским конем” в инфраструктуре банка злоумышленники могли бы делать вообще все, что им угодно».



Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»

Стратегия месяца

Периферийные вычисления перемещаются в центр внимания