دزدان بانکی Metel از حملات APT تقلید می‌کنند

بسیاری از دزدان بانکی از مدت‌ها قبل با تروجانی که گذرواژه‌ها را سرقت کرده و اطلاعات ورودی صفحه‌کلید را شناسایی می‌کند، به سرقت می‌پرداختند.
اگر چه بدافزارهای بانکی ممکن است برای این آدم‌های بد به انداز‌ه‌ی کافی خوب نبوده باشد، اما همواره روش‌هایی که به وسیله‌ی نفوذگران پیشرفته برای سرقت میلیون‌ها دلار از بانک‌ها و مؤسسات مالی استفاده می‌شده است، در حال رونوشت‌شدن بوده است.
امروز در اجلاس تحلیل‌های امنیتی، محققان تیم آزمایشگاه تجزیه و تحلیل کسپرسکی، به رونمایی از جزییات دو عملیات جدید جنایی پرداختند که کاملاً از شیوه‌ی کار حملات پشتیبانی‌شده از سوی دولت‌ها نسخه‌برداری شده بود و علاوه بر آن به ارائه‌ی آخرین به‌روزرسانی‌ها از باند دوباره احیاءشده‌ی Carbanak که گزارش شده بود در سال گذشته تا حدود یک میلیارد دلار از بیش از صد مؤسسه‌ی اقتصادی سرقت کرده بودند، پرداختند.
شدیدترین ضربه‌ها از سوی یکی از باندهای تازه کشف شده در این حملات مداوم صورت گرفته است که به نام Metel معروف بوده و عموماً به روسیه محدود می‌شود. این باند به دستگاه‌هایی حمله می‌کند که همچون دستگاه‌های مرکز تماس و دستگاه‌های پشتیبانی‌کننده‌ی آن‌ها به تراکنش‌های مالی دسترسی دارند و به محض این‌که آن‌ها را آلوده کردند، مهاجمان می‌توانند به برگشت خودکار تراکنش‌های ATM دسترسی پیدا کنند. هنگامی که مهاجمان دستگاه‌های خودپرداز را یکی پس از دیگری خالی کردند، Metel در درون سی شرکت پیدا شده، و تراز حساب‌های سرقت شده دست نخورده باقی می‌مانند.
آزمایشگاه کسپرسکی می‌گوید که یک بانک روسی در یک شب میلیون‌ها روبل را از دست داده است.
«پول مشتریان بانک‌ از دستگاه‌های خودپرداز متعلق به بانک‌های دیگر بیرون کشیده شده بود و آن‌ها قادر بودند تا در نتیجه‌ی آن پول هنگفتی را نقد کنند در حالی‌که ترازها دست‌نخورده باقی می‌ماند. برای بانک قربانی شگفت‌آور بود که از بانک‌های دیگر می‌شنید که می‌خواهند پولی را که از دستگاه‌های خودپرداز آن‌ها برداشته شده است، از این بانک دریافت کنند.»
آزمایشگاه کسپرسکی اضافه می‌کند که اجازه ندارد به خاطر تحقیقات مأموران قضایی و اجرایی جزییات مربوط به بانک‌ها را افشاء کند. شاخص‌های این حملات در وب‌گاه Securelist.com منتشر شده است.
Metel که واژه‌ی روسی برای کولاک است، روش خود برای حمله به سازمان‌های مالی را به شکلی هوش‌مندانه با استفاده از رایانامه‌های فیشینگ دست‌کاری شده و آلوده به بدافزار و یا برگرداندن قربانیان به وب‌گاه‌‌هایی که میزبان بسته‌ی نفوذیی Niteris بودند، انجام می‌داد. این بدافزار اطلاعات سامانه را نظیر فهرست فرآیند‌ها و تصاویر صفحه دریافت کرده و به سمت مهاجمانی ارسال می‌کرد که به ارزیابی می‌پرداختند که آیا سامانه‌ی آلوده می‌تواند مورد توجه آن‌ها باشد تا باقی‌مانده‌ی بسته‌ی بدافزار Metel را روی آن پیاده کنند یا خیر.
این بدافزار شامل بیش از ۳۰ ماژول است، برخی از آن‌ها را خود درست کرده و برخی دیگر از منابع عمومی در دسترس گرفته شده‌اند. علاوه بر آن مهاجمان از ابزارهای آزمون نفوذ قانونی همچون mimikatz استفاده کرده‌اند که به صورت آزاد در دسترس است و به وسیله‌ی تحلیل‌گران برای استخراج رمزهای عبور متنی، هش‌ها، پین کدها و بلیط‌های کربرس از حافظه‌ی سامانه‌های ویندوز استفاده می‌شوند.
با استفاده از این اطلاعات سرقت‌شده، مهاجمان می‌توانند وارد سامانه شده و اعتبارنامه‌ها را سرقت کنند و در یک کنترل‌کننده‌ی دامنه قرار گیرند. با قرار گرفتن بر کنترل‌کننده‌ی دامنه، مهاجمان می‌توانند به گسترش دسترسی خود به دستگاه‌های دیگر بپردازند.
آزمایشگاه کسپرسکی در گزارش خود می‌گوید: «تحقیقات ما نشان می‌دهد که مهاجمان با خودروها در چندین شهر روسیه در اطراف دستگاه‌های خودپرداز متعلق به بانک‌های مختلف گردش کرده و از آن‌ها پول سرقت می‌کردند، با برگشت خودکار، پول فوراً به حساب باز می‌گشت، در حالی‌که پول نقد از دستگاه خودپرداز دریافت شده بود. این گروه به ویژه شب‌ها کار می‌کردند و دستگاه‌های مختلف را در مکان‌های مختلف تخلیه می‌نمودند.»
گروه دومی که معرفی شدند، GCMAN نام دارند، زیرا که بدافزار آن‌ها بر پایه‌ی کدی نوشته است که توسط GCC کامپایل شده است. این گروه برخی از روش‌‌ها را به سبک APT اخذ کرده تا حملات مخفیانه‌ی خود را صورت دهد، برخی از این حملات بدون بدافزار و تنها با استفاده از ابزارهای آزمون نفوذپذیری صورت گرفته است که شامل VCN، Putty و Meterpreter می‌باشند. این ابزارها برای نفوذ به درون شبکه‌های آلوده استفاده می‌شوند، اولین بخش آلودگی توسط فیشینگ و با استفاده از یک آرشیو فشرده‌ی RAR صورت می‌گیرد که یک سند ورد را در خود دارد، به این شیوه آن‌ها به رایانه‌هایی دسترسی پیدا می‌کنند که برای انتقال پول از آن‌ها به خدمات تجارت الکترونیکی استفاده می‌شوند، بدون این‌که هیچ هشداری برای دیگر سامانه‌های تشخیص درون سامانه‌های بانکی فرستاده شود.
محققان کسپرسکی می‌گویند که در یکی از این حملات، مجرمان به یکی از شبکه‌ها پیش از این‌که به سرقت پول بپردازند، به مدت ۱۸ ماه دسترسی داشته‌اند. هنگامی که شروع به سرقت کردند، با استفاده از یک زمان‌بندی CRON که به اجرای اسکریپت‌های مخرب می‌پرداخت توانستند در هر دقیقه ۲۰۰ دلار پول برای خود انتقال دهند و این پول را به یک حساب جعلی انتقال دادند. کسپرسکی می‌گوید که این سفارشات تراکنش‌ها به یک درگاه پرداخت بالا دست فرستاده می‌شد و هرگز به وسیله‌ی سامانه‌های درون بانکی ثبت نمی‌شدند.
کسپرسکی در گزارش امروز خود عنوان می‌کند: «این گروه از یک تزریق MS SQL در نرم‌افزارهای تجاری که بر روی خدمات عمومی شبکه اجرا می‌شدند استفاده کردند و حدود یک سال و نیم بعد برای بیرون کشیدن پول از بانک بازگشتند. در خلال این مدت آن‌ها با ۷۰ میزبان داخلی برخورد کردند و ۵۶ حساب را در آن‌ها آلوده کردند، که راه آن‌ها را برای ۱۳۹ منبع حمله باز می‌کرد (TOR و مسیریاب‌های آلوده‌ی خانگی). ما دریافتیم که حدود دو ماه پیش از این واقعه، کسی سعی کرده است که رمزهای مختلفی را برای حساب کاربری مدیریت کارگزارهای بانک امتحان کند. آن‌ها واقعاً پیگیر بودند. آن‌ها این کار را تنها شنبه‌ها انجام می‌دادند و در هر هفته تنها سه بار تلاش می‌کردند، تمام این‌ها فقط برای این بود تا از کشف و تشخیص دور بمانند.»
هنگامی که Carbanak یک سال پیش رو به خاموشی رفته بود، محققان تصور می‌کردند که این گروه از مجرمان کار خود را جمع کرده‌اند. اما سپتامبر گذشته، محققان CSIS در دانمارک نمونه‌های جدیدی را از کارهای آن ارائه کردند. چهار ماه بعد کسپرسکی اعلام کرد که نمونه‌هایی را از کارهای Carbanak درون یک شرکت مخابراتی و یک مؤسسه‌ی مالی یافته است و تأیید کرد که این باند هنوز هم مشغول فعالیت هستند.
آزمایشگاه کسپرسکی می‌گوید:‌ «یکی از مشخصه‌های جدید نسخه‌ی ۲٫۰ از Carbanak این است که دارای نمایه‌‌های مختلف برای هر کدام از قربانیان است. این گروه حملات خود را از بانک‌ها فراتر برده و اکنون به بخش‌های بودجه‌بندی و حسابداری در هر کدام از سازمان‌هایی که مورد توجه آن‌ها قرار دارد، با استفاده از ابزارهایی که بر پایه‌ی روش‌های APT هستند حمله می‌کنند.»
مجرمانی که در پشتCarbanak هستند از دسترسی‌های خود به رایانه‌های درون سازمان‌ها استفاده کرده تا داده‌های صاحبان آن‌ها را از مالکیت قانونی به شکل حساب جعلی تحت کنترل خود تغییر دهند.
Carbanak همچنین می‌خواهد تا کنترل‌کننده‌های دامنه را برای انتقال پول و اطلاعات به حساب‌های جعلی به دست گیرد.
در گزارش کسپرسکی آمده است: «این اطلاعات برای نمایش اطلاعات شناسه‌ی عبور و نام حساب کاربری جعلی به عنوان یک سهام‌دار شرکت دستکاری می‌شوند و تلاش‌های بعدی برای این صورت می‌گیرد تا ثابت کنند که این باند از نفوذگران یکی از شرکای همکار در این شرکت سهامی بزرگ هستند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.