Példátlan kiberrablási sorozat Kelet-Európában

2017 és 2018 folyamán a Kaspersky Lab szakemberei számos alkalommal vettek részt kelet-európai pénzügyi szervezeteket célba vevő kiberrablások elhárításában. A kutatók rájöttek, hogy a vállalati hálózatba minden esetben egy, a támadók által vezérelt ismeretlen eszközön keresztül hatoltak be, amelyet a vállalat épületébe csempésztek és ott rácsatlakoztatták a hálózatra. A régióban eddig legalább nyolc bankot (csoportjuk a DarkVishnya elnevezést kapta), ért ilyen módszerrel végrehajtott támadás, a becsült veszteség pedig több tíz millió dollárra tehető.

A támadók háromfajta eszközt használtak: laptopot, Raspberry Pi-t (hitelkártya méretű, egylapkás számítógépet) vagy Bash Bunny-t (speciálisan az USB támadások automatizálásához és végrehajtásához fejlesztett eszközt). Ezeket GPRS-sel, 3G- vagy LTE-modemmel látták el, ami lehetővé tette, hogy a támadók távolról behatoljanak a pénzügyi szervezet vállalati hálózatába.

Amint a kapcsolat létrejött, a kiberbűnözők megpróbáltak hozzáférést szerezni a webszerverekhez, hogy ellopják a kiválasztott számítógépen az RDP (távoli asztal protokoll) futtatásához szükséges adatokat, ezután pedig pénzt vagy adatokat kaparintsanak meg. Ehhez a fájl nélküli támadási módszerhez többek között az Impacket, a winexesvc.exe vagy a psexec.exe távoli végrehajtási eszközöket használták. A végső szakaszban a támadók távvezérlésű szoftver használatával tartották fenn a fertőzött számítógéphez való hozzáférésüket.

Adatbiztonság a gyakorlatban, a technikán innen és túl

A személyes adatok megfelelő szintű védelmének biztosítása napjainkra valamennyi szervezet számára alapvető feladattá vált, amely egyben az ügyfelek és munkatársak bizalmának sarokkövét is képezi. Ez éppúgy magában foglalja a szervezési (ideértve: a szervezeten belüli adatvédelmi tudatosság növelését, a munkavállalói állomány felkészültségét és az irányadó vállalati szabályozást), mint a különböző rendszerek és megoldások kapcsán alkalmazott technikai intézkedéseket.

„Az elmúlt másfél évben teljesen újfajta bankok elleni támadásokat figyelhettünk meg, amelyek az észlelhetőség szempontjából meglehetősen kifinomultak és összetettek voltak. A vállalati hálózatba való behatolás pontja sokáig ismeretlen maradt, mivel bármelyik régió bármelyik irodájában lehetett. Ezeket a betörők által becsempészett és elrejtett ismeretlen eszközöket távolról nem lehetett megtalálni. A támadók ráadásul legitim segédprogramokat használtak, ami még komplikáltabbá tette az incidens elhárítását” – mondta Szergej Golovanov, a Kaspersky Lab biztonsági szakértője.

E szokatlan digitális rablási módszer elleni védekezéshez a szakemberek a következőket tanácsolják a pénzintézeteknek:

Fordítsanak kiemelt figyelmet a hálózatba kapcsolt eszközök monitorozására és a vállalati hálózathoz való hozzáférésre.
Teljesen szüntessék meg a biztonsági lyukakat, így többek között a nem megfelelő hálózati konfigurációkhoz kapcsolódókat is.
A fejlett fenyegetések ellen használjanak olyan specializált megoldást, amely képes a hálózatban az összes fajta anomáliát felfedezni és mélyebb szinten vizsgálni a gyanús tevékenységeket a komplex támadások felfedezése, felismerése és feltárása érdekében.

Hogyan ismerjük fel az adathalász csalókat?

Egyre többször hallani, hogy különböző pénzintézetek, webshopok nevével visszaélve próbálnak meg hozzájutni csalók óvatlan felhasználók személyes adataihoz. Bár az adathalászok egyre ügyesebben leplezik magukat, egy kis odafigyeléssel és néhány hasznos információ birtokában bárki elkerülheti, hogy áldozatul essen ezeknek a kísérleteknek.