Niku
New member
Во второй половине 2014 года мы уже неоднократно упоминали про целевые атаки на крупные финансовые учреждения как новую ступень мошенничества. Ведь теперь денежные средства похищают не у «мелких юрлиц», а у крупных финансовых компаний, в которых, казалось бы безопасность должна быть на высшем уровне и сложность совершения преступления приближается к «Hell». Однако, учитывая не стихающий поток подобных преступлений, а также особую актуальность на фоне текущего финансового состояния страны, мы решили обновить пост и добавить новых подробностей касательно группы Anunak, которая использует одноименного трояна, также известного как Carbanak. Название Carbanak происходит от склейки двух слов Anunak+Carberp.
Краткий экскурс
После задержаний членов группы Carberp в России, некоторые участники остались без работы, однако, полученный за долгие годы работы опыт позволил им занять новую нишу. Один из участников быстро понял, что можно украсть тысячу раз по $2 000 и заработать 2 миллиона долларов, а можно украсть всего лишь один раз и сразу всю сумму.
С 2013г. активизировалась организованная преступная группа, нацеленная на банки и электронные платежные системы России и пост советского пространства. Особенностью является то, что мошенничество происходит внутри корпоративной сети, с использованием внутренних платежных шлюзов и банковских систем. Таким образом денежные средства похищаются не у клиентов, а у самих банков и платежных систем. Если доступ был получен злоумышленниками в сеть государственного предприятия, то целью злоумышленников является промышленный шпионаж.
Основной костяк преступной группы составляют граждане России и Украины, однако есть лица, оказывающие им поддержку из Белоруссии.
Средняя сумма хищения на территории России и пост советского пространства составляла 2 миллиона долларов США по курсу осени 2014г. С 2013 года ими были успешно получены доступы в сети более 50 Российских банков и 5 платежных систем, некоторые из них были лишены банковской лицензии. На текущий момент итоговая сумма хищений составляет более 1 миллиарда рублей, большая часть из которой приходится на второе полугодие 2014г.
Среднее время с момента проникновения во внутреннюю сеть финансовой организации до момента хищения составляет 42 дня.
В результате доступа во внутренние сети финансовой организации хакерам удавалось получать доступ к серверам управления банкоматами и заражать их своими вредоносными программами, что позволяло в дальнейшем опустошать их по команде. Также результатом проникновения в сеть был доступ к управлению платежными шлюзами (в случае платежных систем) и счетами банка.
С 2014 года участники преступной группы начали активно проявлять интерес к Европейским ритейл компаниям.
Для проникновения во внутреннею сеть используются целевые рассылки по электронной почте, или через другие бот-сети, для чего постоянно поддерживается контакт с владельцами крупных бот-сетей. С августа 2014 года они начали создавать свою крупную бот-сеть используя массовые рассылки по электронной почте, а не Driveby.
Атаки в России
Первое успешное ограбление банка было совершено ими в январе 2013 года. Во всех первых случаях злоумышленники использовали для удаленного доступа в сеть банка программу RDPdoor, а для удаления следов и вывода Windows компьютеров и серверов из строя программу MBR Eraser. Обе программы использовались участниками преступной группы Carberp, которой управлял Germes. Для снижения рисков лишиться доступа во внутреннею сеть банка, кроме вредоносных программ, злоумышленники использовали и легитимные программы для удаленного доступа как Ammy Admin и Team Viewer. В последствии от использования RDPdoor и Team Viewer злоумышленник полностью отказались.
Кроме самих банковских и платежных систем хакеры получали доступы к серверам электронной почты, для контроля всех внутренних коммуникаций. Это позволяло им выяснить, что в сети банка была зафиксирована аномальная активность как она была установлена и какие меры будут предприниматься сотрудниками банка для решения проблемы. Контроль над почтой успешно устанавливался независимо от того был это MS Exchange или Lotus. Это позволяло им принимать обратные меры, позволяя сотрудникам банков и платежных систем получить ощущение что проблема была решена.
Основные этапы развития атаки:
1. Первичное заражение компьютера рядового сотрудника.
2. Получение пароля пользователя с административными прорвами на некоторых компьютерах. Например, специалист технической поддержки.
3. Получение легитимного доступа к одному из серверов.
4. Компрометация пароля доменного администратора с сервера.
5. Получение доступа на контроллер домена и компрометация всех доменных активных учетных записей.
6. Получение доступа к серверам электронной почты и документооборота.
7. Получение доступа к рабочим станциям администраторов серверов и банковских систем.
8. Установка программного обеспечения для контроля активности операторов интересующих их систем. Обычно это фото и видео фиксация.
9. Настройка удаленного доступа к интересующим серверам включая изменения на межсетевых экранах.
Инструменты
Для проведения целевых атак в 2014 году злоумышленники закончили разработку своей основной вредоносной программы Anunak, которая используется вместе со следующими инструментами:
Mimikatz — для получения паролей от локальных и доменных учетных записей
MBR Eraser — для вывода операционной системы из строя
SoftPerfect Network Scanner — для сканирования локальной сети
Cain amp; Abel — для получения паролей
SSHD-бэкдор — для получения паролей и удаленного доступа
Ammy Admin — удаленное управление
Team Viewer — удаленное управление
Основной вредоносной программой является «Anunak» по классификации нашей лаборатории. Это троянская программа используется только для целевых атак, преимущественно на банки и платежные системы. Целевое использование позволяет ей оставаться малоизученной, что обеспечивает ей хорошую живучесть внутри корпоративных сетей. При написании данной вредоносной программы в некоторых местах использовался исходный код от банковской троянской программы «Carberp».
«Anunak» обладает следующим набором функциональных возможностей.
В него интегрировано программное обеспечение под названием «Mimikatz». Это программное обеспечение с открытым исходным кодом, позволяющее получать пароли учетных записей пользователей, совершивших вход в систему Windows. Однако данное программное обеспечение существенно изменено: при сохранении функциональных возможностей по получению паролей учетных записей был убран функционал взаимодействия с пользователем, информация об ошибках и ходе выполнения программы. Таким образом, при запуске вредоносной программы на сервере, скрытно будут скомпрометированы все доменные и локальные учетные записи, включая учетные записи администраторов. Для того чтобы получить пароли от учетных записей достаточно ввести последовательно две команды: «privilege::debug» и «sekurlsa::logonpasswords». При попадание этой программы на контроллер домена, либо сервер электронной почты, компрометируются практически все учетные записи домена, включая администраторов.p>
Краткий экскурс
После задержаний членов группы Carberp в России, некоторые участники остались без работы, однако, полученный за долгие годы работы опыт позволил им занять новую нишу. Один из участников быстро понял, что можно украсть тысячу раз по $2 000 и заработать 2 миллиона долларов, а можно украсть всего лишь один раз и сразу всю сумму.
С 2013г. активизировалась организованная преступная группа, нацеленная на банки и электронные платежные системы России и пост советского пространства. Особенностью является то, что мошенничество происходит внутри корпоративной сети, с использованием внутренних платежных шлюзов и банковских систем. Таким образом денежные средства похищаются не у клиентов, а у самих банков и платежных систем. Если доступ был получен злоумышленниками в сеть государственного предприятия, то целью злоумышленников является промышленный шпионаж.
Основной костяк преступной группы составляют граждане России и Украины, однако есть лица, оказывающие им поддержку из Белоруссии.
Средняя сумма хищения на территории России и пост советского пространства составляла 2 миллиона долларов США по курсу осени 2014г. С 2013 года ими были успешно получены доступы в сети более 50 Российских банков и 5 платежных систем, некоторые из них были лишены банковской лицензии. На текущий момент итоговая сумма хищений составляет более 1 миллиарда рублей, большая часть из которой приходится на второе полугодие 2014г.
Среднее время с момента проникновения во внутреннюю сеть финансовой организации до момента хищения составляет 42 дня.
В результате доступа во внутренние сети финансовой организации хакерам удавалось получать доступ к серверам управления банкоматами и заражать их своими вредоносными программами, что позволяло в дальнейшем опустошать их по команде. Также результатом проникновения в сеть был доступ к управлению платежными шлюзами (в случае платежных систем) и счетами банка.
С 2014 года участники преступной группы начали активно проявлять интерес к Европейским ритейл компаниям.
Для проникновения во внутреннею сеть используются целевые рассылки по электронной почте, или через другие бот-сети, для чего постоянно поддерживается контакт с владельцами крупных бот-сетей. С августа 2014 года они начали создавать свою крупную бот-сеть используя массовые рассылки по электронной почте, а не Driveby.
Атаки в России
Первое успешное ограбление банка было совершено ими в январе 2013 года. Во всех первых случаях злоумышленники использовали для удаленного доступа в сеть банка программу RDPdoor, а для удаления следов и вывода Windows компьютеров и серверов из строя программу MBR Eraser. Обе программы использовались участниками преступной группы Carberp, которой управлял Germes. Для снижения рисков лишиться доступа во внутреннею сеть банка, кроме вредоносных программ, злоумышленники использовали и легитимные программы для удаленного доступа как Ammy Admin и Team Viewer. В последствии от использования RDPdoor и Team Viewer злоумышленник полностью отказались.
Кроме самих банковских и платежных систем хакеры получали доступы к серверам электронной почты, для контроля всех внутренних коммуникаций. Это позволяло им выяснить, что в сети банка была зафиксирована аномальная активность как она была установлена и какие меры будут предприниматься сотрудниками банка для решения проблемы. Контроль над почтой успешно устанавливался независимо от того был это MS Exchange или Lotus. Это позволяло им принимать обратные меры, позволяя сотрудникам банков и платежных систем получить ощущение что проблема была решена.
Основные этапы развития атаки:
1. Первичное заражение компьютера рядового сотрудника.
2. Получение пароля пользователя с административными прорвами на некоторых компьютерах. Например, специалист технической поддержки.
3. Получение легитимного доступа к одному из серверов.
4. Компрометация пароля доменного администратора с сервера.
5. Получение доступа на контроллер домена и компрометация всех доменных активных учетных записей.
6. Получение доступа к серверам электронной почты и документооборота.
7. Получение доступа к рабочим станциям администраторов серверов и банковских систем.
8. Установка программного обеспечения для контроля активности операторов интересующих их систем. Обычно это фото и видео фиксация.
9. Настройка удаленного доступа к интересующим серверам включая изменения на межсетевых экранах.
Инструменты
Для проведения целевых атак в 2014 году злоумышленники закончили разработку своей основной вредоносной программы Anunak, которая используется вместе со следующими инструментами:
Mimikatz — для получения паролей от локальных и доменных учетных записей
MBR Eraser — для вывода операционной системы из строя
SoftPerfect Network Scanner — для сканирования локальной сети
Cain amp; Abel — для получения паролей
SSHD-бэкдор — для получения паролей и удаленного доступа
Ammy Admin — удаленное управление
Team Viewer — удаленное управление
Основной вредоносной программой является «Anunak» по классификации нашей лаборатории. Это троянская программа используется только для целевых атак, преимущественно на банки и платежные системы. Целевое использование позволяет ей оставаться малоизученной, что обеспечивает ей хорошую живучесть внутри корпоративных сетей. При написании данной вредоносной программы в некоторых местах использовался исходный код от банковской троянской программы «Carberp».
«Anunak» обладает следующим набором функциональных возможностей.
В него интегрировано программное обеспечение под названием «Mimikatz». Это программное обеспечение с открытым исходным кодом, позволяющее получать пароли учетных записей пользователей, совершивших вход в систему Windows. Однако данное программное обеспечение существенно изменено: при сохранении функциональных возможностей по получению паролей учетных записей был убран функционал взаимодействия с пользователем, информация об ошибках и ходе выполнения программы. Таким образом, при запуске вредоносной программы на сервере, скрытно будут скомпрометированы все доменные и локальные учетные записи, включая учетные записи администраторов. Для того чтобы получить пароли от учетных записей достаточно ввести последовательно две команды: «privilege::debug» и «sekurlsa::logonpasswords». При попадание этой программы на контроллер домена, либо сервер электронной почты, компрометируются практически все учетные записи домена, включая администраторов.p>