Počas roka 2017 a 2018 prebiehala séria kyberlúpeží, ktoré mierili na finančné inštitúcie vo východnej Európe. Analytici spoločnosti Kaspersky Lab zistili, že v každom jednom zo skúmaných prípadov došlo k prelomeniu korporátnej siete, a to pomocou neznámeho zariadenia. Práve to bolo pod kontrolou útočníka a bolo prepašované do budovy organizácie a pripojené na sieť.
Tieto útoky dostali prezývku „DarkVishnya“. Najmenej osem bánk v regióne východnej Európy bolo napadnutých týmto spôsobom. Odhadovaná škoda? Desiatky miliónov dolárov.
Útočníci použili tri typy bežných zariadení:
- laptop,
- Raspberry Pi (jednoduchý jednodoskový počítač veľkosti kreditnej karty) alebo Bash Bunny (nástroj so špeciálnym dizajnom na automatizáciu a realizáciu USB útokov) vybavené GPRS,
- 3G alebo LTE modemom, ktorý umožnil útočníkom cez vzdialený prístup vniknúť do korporátnej siete finančnej inštitúcie.
Keď došlo k naviazaniu spojenia, kyberzločinci chceli najskôr získať prístup k webovým serverom. Cieľom bolo ukradnutie dát potrebné na spustenie RDP (proprietárneho sieťového protokolu) na vybranom počítači. Potom už došlo k odcudzeniu finančných prostriedkov alebo dát.
Táto bezsúborová metóda útoku zahŕňala použitie Impacketu, winexesvc.exe alebo psexec.exe (nástroje, ktoré umožňujú spustenie na diaľku). Vo finálnej fáze použili útočníci softvér pre vzdialenú kontrolu, aby si zachovali prístup do napadnutého počítača.
„Behom posledného roka a pól sme sledovali kompletne nový typ útokov na banky, ktoré boli mimoriadne sofistikované a zložité v súvislosti s ich detekciou. Miesto vstupu do korporátnej siete zostával neznámi veľmi dlhú dobu, keďže mohlo ísť o akúkoľvek z kancelárií v ktorejkoľvek pobočke a v ktoromkoľvek regióne.
Tieto neznáme zariadenia prepašované a schované útočníkmi nebolo možné nájsť a identifikovať na diaľku. Navyše, útočník využil legitímne pomocné programy, čo ešte viac skomplikovalo reakciu na incident,“ povedal Sergey Golovanov, bezpečnostný expert spoločnosti Kaspersky Lab.
Ako sa chrániť?
Aby sa finančné inštitúcie chránili pred týmto neobvyklým typom digitálnej kyberlúpeže, odporúča sa:
- Dávať pozor špecificky na monitorovanie pripojených zariadení ako aj na prístup do korporátnej siete, napríklad prostredníctvom bezpečnostných riešení.
- Eliminovať všetky bezpečnostné diery, vrátane tých, ktoré zahŕňajú nesprávnu sieťovú konfiguráciu.
- Používať špecializované riešenia proti pokročilým hrozbám, ktoré môžu detekovať všetky typy anomálií a detailne skúmať podozrivé aktivity v sieti na hlbšej úrovni, aby odhalili, rozpoznali a odkryli komplexné útoky.
Zdroj: Tlačová správa Kaspersky Lab