W latach 2017-2018 eksperci z Kaspersky Lab uczestniczyli w akcji reagowania na incydent związany z serią cyberkradzieży w organizacjach finansowych w Europie Wschodniej. Badacze odkryli, że w każdym przypadku do sieci korporacyjnej włamywano się przy użyciu nieznanego urządzenia kontrolowanego przez atakujących, które zostało przemycone do budynku firmy i podłączone do sieci. Jak dotąd zaatakowanych w ten sposób zostało co najmniej osiem banków w regionie Europy Wschodniej, a straty szacuje się na dziesiątki milionów dolarów.
Atak był podzielony na trzy etapy:
1. Cyberprzestępcy wykorzystywali trzy rodzaje urządzeń: laptop, Raspberry Pi (komputer o rozmiarze karty kredytowej) lub Bash Bunny (specjalnie zaprojektowane narzędzie do automatyzacji i przeprowadzania ataków poprzez port USB). Wszystkie te urządzenia były wyposażone w modem GPRS, 3G lub LTE, który umożliwiał atakującym zdalne przeniknięcie do sieci korporacyjnej atakowanej organizacji finansowej.
2. W drugim etapie atakujący zdalnie łączyli się z urządzeniem i skanowali lokalną sieć, szukając dostępu do publicznych folderów współdzielonych, serwerów internetowych i innych otwartych zasobów. Ich celem było zbieranie informacji o sieci, przede wszystkim serwerów i stacji roboczych używanych do dokonywania płatności. W tym samym czasie atakujący usiłowali sniffować dane logowania do takich komputerów lub samemu zalogować się, używając ataków słownikowych. Dodatkowo aby pokonać ograniczenia zapory sieciowej, po zainfekowaniu urządzenia nawiązywali odwrotne połączenia, tzn. zainfekowane urządzenie łączyło się z ich serwerami, a nie odwrotnie (tzw. reverse TCP).
3. Na końcu atakujący logowali się do systemu docelowego i uruchamiali utworzone malware przy użyciu funkcji msfvenom w Metasploicie. Jako że hackerzy używali ataków bezplikowych, byli w stanie oszukiwać ochronę bazującą na białych listach aplikacji. Jeśli reguły nie pozwalały na uruchomienie pliku, to używali narzędzi Impacket, a przez systemowe interpretery winexesvc.exe lub psexec.exe zdalnie uruchamiali pliki.
Przez ostatnie półtora roku obserwowaliśmy całkowicie nowy rodzaj ataków na banki, dość wyrafinowany i złożony pod względem wykrywania. Punkt wejścia do sieci korporacyjnej pozostawał przez długi czas nieznany, ponieważ mógł być zlokalizowany w dowolnym biurze w dowolnym regionie. Nie zdołaliśmy znaleźć zdalnie tych nieznanych urządzeń, które zostały przemycone i ukryte przez intruzów. Dodatkowo, atakujący wykorzystywali legalne narzędzia, które jeszcze bardziej komplikowały reagowanie na incydent.
– powiedział Siergiej Golowanow, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.
Więcej technicznych informacji o bezplikowych atakach jest dostępnych w przeprowadzonym przez AVLab teście dotyczącym tych zagrożeń: https://avlab.pl/wielki-test-ochrony-przed-wirusami-bezplikowymi-pazdziernik-2017
