Expertii in securitate informatica de la Kaspersky Lab au demascat doua grupari care opereaza in acelasi stil: Metel si GCMAN. Ele ataca organizatii financiare folosind virusi personalizati si tehnici APT (Advanced Persistent Threat), ceea ce inseamna ca malware-ul sta camuflat o perioada lunga de timp.

Cei de la Kaspersky Lab remarca si revenirea gruparii APT Carbanak, cu aceleasi instrumente si tehnici, dar un profil diferit al victimelor si modalitati inovatoare de a obtine bani.

Compania de securitate a facut acest anunt la Kaspersky Security Analyst Summit (SAS), un eveniment anual ce reuneste cercetatori anti-malware si dezvoltatori, organisme internationale de aplicare a legii si de tip CERT (Computer Emergency Response Team) si membri ai comunitatii de cercetatori in domeniul securitatii.

Metel

Prima dintre gruparile de infractori, Metel, are un mod de operare deosebit de inteligent: obtine control asupra aparatelor din interiorul unei banci, care au acces la tranzactiile cu numerar, ca de exemplu call center-ul sau computerele care asigura suport tehnic. 

In felul acesta, gruparea poate realiza automat rollback - intreruperea tranzactiilor la bancomat si revenirea la stadiul anterior. Prin rollback, balanta pe cardurile de debit ramane la fel, indiferent de numarul de tranzactii facute la bancomat. 

Gruparea fura bani mergand cu masina prin orase din Rusia, noaptea, si golind bancomatele de la mai multe bancii. 

Atunci cand atacatorii se perfectioneaza intr-un anumit mod de operare, le ia doar cateva zile sau o saptamana sa obtina ce vor si sa fuga”, spune Sergey Golovanov, Principal Security Researcher la Global Research & Analysis Team, Kaspersky Lab.

Expertii Kaspersky Lab au descoperit ca membrii Metel reusesc sa infecteze initial un sistem prin email-uri ce au atasate documente virusate, si prin intermediul pachetului de exploit-uri Niteris, care vizeaza vulnerabilitatile din browser-ul victimei. 

GCMAN 

O alta grupare, GCMAN merge si mai departe: uneori poate ataca cu succes o organizatie fara sa foloseasca malware, doar cu instrumente legitime si de testare a vulnerabilitatilor. In cazurile identificate de expertii Kaspersky Lab, acestia au vazut gruparea deplasandu-se in interiorul retelei, pana cand atacatorii au gasit un aparat ce putea fi folosit pentru a transfera bani catre servicile de moneda electronica, fara sa alerteze alte sisteme bancare. 

Intr-unul dintre atacuri, infractorii cibernetici au ramas conectati la retea timp de un an si jumatate, inainte de a declansa furtul. Banii au fost transferati in sume de aproximativ 200 de dolari, limita superioara de plati care pot fi efectuate anonim in Rusia. La fiecare minut, organizatorul Cron declansa un script malware si o alta suma era transferata in conturi de moneda electronica apartinand unui intermediar. Ordinele de plata erau trimise direct, fara sa apara nicaieri in sistemele interne ale bancii.

Carbanak 2.0

In 2015, tintele vizate de Carbanak 2.0 nu au fost doar bancile, ci si departamentele de buget si contabilitate din orice organizatie de interes. Intr-unul dintre exemplele studiate de Kaspersky Lab, banda Carbanak 2.0 a patruns intr-o institutie financiara si a reusit sa modifice credentialele detinute de o mare companie. Informatiile au fost modificate astfel incat sa se refere la un intermediar al lor drept un actionar al companiei, afisandu-i ID-ul.

“Atacurile asupra institutiilor financiare descoperite in 2015 indica o tendinta ingrijoratoare a infractorilor cibernetici de a adopta stilul atacurilor de tip APT. Banda Carbanak a fost doar prima dintre multe: infractorii invata repede acum cum sa foloseasca noi tehnici in activitatea lor, si vedem cum multe dintre ele nu mai ataca utilizatorii, ci direct bancile. Logica lor e simpla: acolo sunt banii”, spune Serghey Golovanov. 

 

Cei de la Kaspersky le recomanda organizatiilor sa-si scaneze cu atentie retelele pentru a detecta prezenta Carbanak, Metel si GCMAN si, daca sunt identificate, sa isi curete sistemele si sa raporteze intruziunea organismelor de aplicare a legii.