1. Як відбувалися зараження?
2. Який збиток?
3. Як захиститися?

Цільові атаки - улюблена тема фахівців з ІТ-безпеки: в таких атаках завжди задіяні максимально складні інструменти, тому вивчати їх і протидіяти їм дуже цікаво. Однак звичайних людей до недавніх пір подібні атаки хвилювали не так сильно.

Про деякі з них було цікаво читати - ще б пак, це ж як шпигунський бойовик, тільки все відбувається насправді! Але приймати це близько до серця було складно - до сих пір все APT-кампанії розроблялися на державному рівні. З усіма наслідками, що випливають обставинами на кшталт високої секретності, складності оцінки реального ефекту і так далі.

Схоже, тепер все зміниться: цільові атаки прийшли в комерційний сектор. Якщо говорити більш конкретно - в банківський. І оцінити наслідки тут простіше простого: мільярд доларів - приблизно стільки вдалося в цілому викрасти групі кіберзлочинців у десятків фінансових установ по всьому світу.

Як відбувалися зараження?

Щоб отримати доступ до внутрішньої мережі банку, злочинці використовували адресну фішингову розсилку зі шкідливими вкладеннями. На комп'ютер жертви встановлювався бекдор, заснований на коді Carberp, - власне, звідси і походить назва цієї кампанії - Carbanak.

Мільярд доларів - приблизно стільки вдалося викрасти угрупованню Carbanak з десятків банків по всьому світу

Отримавши контроль над комп'ютером безпосередній жертви, кіберзлочинці використовували його як опорну точку: досліджували за її допомогою внутрішню мережу банку, заражали інші комп'ютери і виявляли найбільш важливі машини, за допомогою яких можна було отримати доступ вже безпосередньо до фінансових систем.

Після цього слідувала стадія вивчення використовуваних банком фінансових механізмів - для цього були задіяні кейлоггер і вимкнули передачу відео.

Нарешті, в останній частині плану злочинці виводили з банку гроші тими способами, які були найбільш зручними в даному конкретному випадку. Це міг бути як переклад через систему SWIFT, так і створення фальшивих рахунків з подальшим виведенням коштів «грошовими мулами» або віддалена команда банкомату на видачу готівки.

В середньому на пограбування кожного з банків йшло від двох до чотирьох місяців - від зараження першого комп'ютера в корпоративній мережі банку до виведення коштів.

Який збиток?

Тим чи іншим чином злочинці вели у кожного з банків суми, які виглядають досить переконливо навіть окремо, - від $ 2,5 млн до $ 10 млн. З огляду на, що жертвами стали багато десятків фінансових організацій (за поточними оцінками, їх число може доходити до сотні ), сукупний збиток становить близько мільярда доларів.

Серед найбільш постраждалих від діяльності Carbanak країн - Росія, США, Німеччина, Китай і Україна. На даний момент угруповання розширює географію своєї діяльності, включаючи в неї нові зони. У їх число, зокрема, входять Малайзія, Непал, Кувейт, а також деякі регіони Африки.

Виходячи з наявної у «Лабораторії Касперського» інформації, перші зразки шкідливого ПЗ, що використовується угрупованням Carbanak, були створені в серпні 2013 року. Перші зараження були виявлені в грудні 2013 року. Перші успішні крадіжки відносяться до періоду з лютого по квітень 2014 року, пік числа заражень був зафіксований в червні минулого року.

Очевидно, злочинці не збираються зупинятися, поки їх не спіймають. На даний момент до розслідування вже підключено як безліч національних центрів боротьби з кіберзагрозами, так і міжнародні організації - Європол та Інтерпол. З боку «Лабораторії Касперського» в розслідуванні бере участь Глобальний центр досліджень (GReAT).

Як захиститися?

Для клієнтів «Лабораторії Касперського» у нас є хороші новини:

• Всі корпоративні продукти і рішення «Лабораторії Касперського» детектируют відомі зразки Carbanak як Backdoor.Win32.Carbanak і Backdoor.Win32.CarbanakCmd.
• Щоб підвищити рівень захисту, ми рекомендуємо переконатися в тому, що модуль проактивного захисту, що входить до складу всіх сучасних продуктів і рішень «Лабораторії Касперського», включений.

Крім того, ми можемо запропонувати кілька загальних рекомендацій, які допомагають уберегтися як від цієї загрози, так і від багатьох інших:

• Ніколи не відкривайте підозрілі електронні листи, особливо якщо вони містять вкладення.
• Своєчасно встановлюйте оновлення програмного забезпечення. Наприклад, в даній кампанії не використовувалися загрози нульового дня - тільки вже відомі уразливості, для яких існують «заплатки».
• Увімкніть евристичне виявлення загроз в своєму антивірусний вирішенні - це підвищить ймовірність виявлення і блокування нових зразків шкідливого ПЗ.

Більше подробиць про розслідування нашої команди GReAT діяльності кіберзлочинністю угруповання Carbanak ви можете знайти в статті на Securelist .