Количество успешных атак на финансовые организации значительно возросло за последние несколько лет. Почетное место на пьедестале первенства среди злоумышленников занимает киберпреступная группа Carbanak, которая прославилась тем, что украла миллионы долларов.
Аналитики из Bitdefender решили разобраться, какие же инструменты и подходы к организации атак помогли хакерам достигнуть столь пугающей эффективности и опубликовали доклад, в котором детально разобрали один из успешных взломов.
Стоит отметить, что Carbanak – не просто среднестатистическая банда. Под этим названием скрываются злоумышленники со всех уголков планеты, а ее подразделения CobaltGoblin, EmpireMonkey и FIN7 заслужили свою самостоятельную дурную репутацию. Даже не смотря на то, что предполагаемый лидер группировки был арестован в марте 2018 года в Испании, их активность не прекратилась.
Взлом компании-жертвы всегда начинается с фишинга, и изученный случай не стал исключением. Любой владелец бизнеса тут же задастся логичным вопросом: может ли быть успешной спам-атака на крупное финансовое учреждение, с современными средствами защиты и персоналом, регулярно проходящим всевозможные тренинги? К несчастью ответ положительный: в пострадавшем банке, сразу два сотрудника, в один и тот же день открыли фишинговое письмо и запустили вредоносное вложение.
Уже два часа спустя хакеры завладели кодами аутентификации к контроллеру домена и получили доступ ко всем уголкам корпоративной сети. От момента прочтения письма до полного краха системы безопасности банк отделяло всего 120 минут!
Один из популярных приемов хакеров – установка кейлоггера. Получив доступ к почте сотрудника, злоумышленники отправили письмо системному администратору с жалобой на то, что компьютер сильно «тормозит». Как только сисадмин удаленно подключился к машине, представители Carbanak перехватили его привилегированные коды доступа.
После столь быстрого проникновения, хакеры умудрились в течение 63 дней незаметно пребывать в системе. За это время они не только полностью взяли под контроль локальную сеть компании, но и изучили логику внутренних алгоритмов поведения персонала и бизнес-процессы организации. Чтобы снизить риск обнаружения, все операции проходили в нерабочее время.
Примечательно, что в первые 30 дней злоумышленники сфокусировались на том, чтобы собрать максимум информации о системе безопасности банка, о тренингах, проводимых для работников, о действиях в случае ЧП, а также о наиболее распространенных офисных приложениях. Они искали закономерности работы банковской системы и готовили мануал для своих «сотрудников», чтобы с максимальной эффективностью проводить атаки в дальнейшем. Еще 17 дней ушло на систематизацию полученной информации. Такой подход свидетельствует о высоком профессионализме и о значительном росте киберугрозы для всех финансовых учреждений.
Предположительно одна из глобальных целей, которую ставила перед собой группировка – полный контроль над сетью банкоматов и терминалов жертвы. И, несмотря на то, что в исследованном взломе добиться этого не удалось, в истории Carbanak есть ряд примеров, когда часть ATM банков-жертв оказывалась под контролем хакеров.
Как ни странно, но, по мнению специалистов, защититься от подобных инцидентов не так сложно, как кажется на первый взгляд.
Учитывая, что практически все атаки начинаются с социальной инженерии и фишинга, необходимо взять под контроль каналы коммуникаций персонала: почту и мессенджеры. Кроме того, очень важно внедрить комплексы защиты, «умеющие» контролировать поведение пользователей и своевременно выявлять рисковые ситуации. На сегодняшний день цифровые средства защиты – практически совершенных продукт, способный отразить до 100% процентов атак, рассчитанных на грубый взлом. Однако большинство таких инструментов оказываются бессильны против воздействия на самое уязвимое звено системы безопасности – человека. Поэтому крайне важно внедрить системы контроля «человеческого фактора».
Вторая точка контроля – анализ трафика в сети и поиск отклонений от нормы. Любые активности или минимальные перемещения данных, отличающиеся от ежедневной рутинной картины, четко свидетельствуют об активности злоумышленников. Особое внимание стоит обратить на нерабочее время: даже мизерное отклонение от нормы может быть сигналом о том, что в компании тихо орудует хакер, старающийся не попадаться в поле зрения радаров системы безопасности.
