Egy évvel azután, hogy a Kaspersky Lab arra figyelmeztetett, a kiberbűnözők az államok által támogatott APT-k eszközeit és taktikáját használják majd a bankrablásokhoz, a cég megerősítette a Carbanak csoport Carbanak 2.0-ként való visszatérését, valamint felfedett további két csoportot - Metel és GCMAN -, amelyek ugyanabban a stílusban dolgoznak. Pénzügyi szervezeteket támadnak rejtett APT stílusú felderítés, személyre szabott rosszindulatú programok, törvényes szoftverek és új, innovatív pénzkivételi módszerek segítségével.
A Metel kiberbűnözői csoportnak rengeteg trükk van a tarsolyában, de különösen érdekessé egy rendkívül okos módszer teszi, amelynek révén ellenőrzést szerez a bankok pénzügyi tranzakciókhoz hozzáférő számítógépei (például a banki call center gépek) felett, így a bűnbanda automatizálhatja az ATM kifizetések visszaállítását, olvashatjuk a biztonsági cég közleményében.
A visszaállítási képesség biztosítja, hogy a bankkártyák egyenlege ugyanaz marad, függetlenül a végrehajtott ATM tranzakciók számától. Az eddigi tapasztalatok szerint a kiberbűnözői csoport úgy lop pénzt, hogy éjszakánként körbeautózza az orosz városokat, és kiüriti több bank ATM-eit úgy, hogy a lopáshoz mindig ugyanazt, a feltört pénzintézet által kiadott bankkártyát használják. Így egyetlen éjszaka alatt tudnak készpénzhez jutni
"Manapság a kibertámadások aktív szakasza egyre rövidebb. Amikor a támadók gyakorlottá válnak egy adott műveletben, akkor csupán napokig vagy hetekig tart, hogy megszerezzék, amit akarnak és elmeneküljenek." - mondta Sergey Golovanov, a Kaspersky Lab GReAT csapatának vezető kutatója.
A vizsgálat során a Kaspersky Lab szakértői kiderítették, hogy a Metel üzemeltetői a kezdeti fertőzést speciálisan kialakított, rosszindulatú melléklettel ellátott, célzott adathalász e-mailekkel, valamint a Niteris kihasználó csomag segítségével érik el, az utóbbi az áldozat böngészőjének sebezhetőségeit támadja.
Miután behatoltak a hálózatba, a számítógépes bűnözők legális eszközökkel hajtanak végre laterális mozgásokat, eltérítik a helyi domain vezérlőt, és ellenőrzést szereznek a kártyák feldolgozásért felelős banki dolgozók számítógépei felett.
Úgy tűnik, a Metel csoport aktív maradt, ezért a tevékenységével kapcsolatos nyomozás tovább folytatódik. Eddig nem azonosítottak Oroszországon kívüli támadást. Ennek ellenére vannak olyan feltételezések, hogy a fertőzés sokkal elterjedtebb, és a bankoknak világszerte azt tanácsolják, hogy proaktív módon ellenőrizzék az esetleges fertőzést.
Mind a három azonosított banda rosszindulatú programokat és legális szoftvereket egyaránt használ csalásai során: miért írjanak egy rakás kártékony programot, amikor a legális segédprogramok ugyanolyan hatékonyak tudnak lenni, és jóval ritkábban indítanak be riasztást.
De titkosság tekintetében a GCMAN hackerei még tovább mennek: néha sikeres támadást tudnak végrehajtani vállalatok ellen bármiféle rosszindulatú program használata nélkül, csupán törvényes eszközök segítségével. A Kaspersky Lab szakértői által kivizsgált esetekben előfordult olyan GCMAN hacker, aki Putty, VNT és Meterpreter segédprogramokat használt a hálózatban való laterális mozgásra, amíg elért egy olyan számítógépet, amellyel pénzutalást lehetett végrehajtani e-valuta szolgátatásokra anélkül, hogy más banki rendszereket riasztana.
A Kaspersky Lab által megfigyelt egyik támadásban a kiberbűnözők másfél évig voltak a hálózaton belül, mielőtt véghezvitték a lopást. A pénzt 200 dollár körüli összegekben utalták át, ami a névtelen utalások felső határa Oroszországban. A CRON ütemező minden percben elindított egy rosszindulatú szkriptet, és egy újabb összeg utalódott át egy e-valuta számlára. A tranzakciós megbízásokat közvetlenül a bank upstream fizetési átjárójához küldték és azok sehol sem bukkantak fel a bank belső rendszereiben.
És végül a Carbanak 2.0 a Carbana APT fenyegetés (fejlett folyamatos fenyegetés) újbóli megjelenését jelzi, ugyanazokkal az eszközökkel és technikákkal, de eltérő áldozati profillal és innovatív kifizetési módszerekkel.
2015-ben a Carbanak 2.0 célpontjai nem csupán bankok voltak, hanem bármely, a hackerek érdeklődésére számot tartó szervezet költségvetési és könyvelési osztálya. A Kaspersky Lab által megfigyelt egyik esetben a Carbanak 2.0 csoport hozzáférést szerzett egy pénzügyi intézmény rendszeréhez, és képes volt megváltoztatni egy nagy cég tulajdonosi adatait. Az információt úgy módosították, hogy egy strómant neveztek meg a társaság egyik részvényesének.