Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,281
- Points
- 113
Известный хакер Финеас Фишер утверждает, что заработал сотни тысяч фунтов стерлингов в результате взлома банка Национального острова Мэн Каймановых островов в 2016 году. Вот как он это сделал и почему это вызывает беспокойство.
Ограбить банк проще, чем вы думаете, особенно если вам все равно, какой банк вы ограбите, согласно манифесту «как ограбить банк», сделанному, по всей видимости, хакером-линчевателем Финеасом Фишером. Отчет PwC о реагировании на инциденты, который просочился Финеас Фишер, подтверждает это утверждение. В отчете подробно рассказывается о вторжении в управление ограбленного банка Cayman National Bank (Isle of Man) Limited (CNBIOM) и его дочерней компании Cayman National Trust Company (Isle of Man) Limited (CNTIOM).
(PwC отказалась комментировать нарушение Cayman National или отчет об утечке, который указывает на то, что мошеннические транзакции были очищены. В пресс-релизе Cayman National признала нападение, заявив: «В настоящее время нет никаких доказательств финансового хищения или мошенничества. клиентам CNBIOM или CNTIOM или Cayman National ». В нем не упоминались финансовые убытки самого банка.)
Обзор методов, которые использовал Финеас Фишер, дает представление о том, насколько уязвима наша финансовая инфраструктура для злоумышленников, и дает представление о том, как скромно квалифицированному человеку или группе лиц сошло с рук ограбление банка.
Кто такой Финеас Фишер?
Финеас Фишер, который ранее брал на себя ответственность за взлом печально известных кибернаемнических групп Gamma Group и Hacking Team, утверждает, что является частным лицом, заявленными целями которого являются антикапиталистические, антиимпериалистические и анти-слежка. Некоторые подозревают, что Финеас Фишер - это хакерская группа, спонсируемая государством, но нет возможности узнать.
В качестве хакерских инструментов, использованных при ограблении банка в 2016 году, были стандартные инструменты для тестирования на проникновение, такие как PowerShell и Mimikatz. Это означает, что если Финеас Фишер может это сделать, то сможет и любое количество умеренно квалифицированных злоумышленников. Это делает атаку Cayman National примером того, как не защитить свои сети (или как ограбить банк, в зависимости от вашей точки зрения).
Давайте выясним, как произошло ограбление.
Получение точки опоры
«Как гласит старая поговорка, - писал Финеас Фишер (по-испански) в своем руководстве по ограблению банка, - дайте человеку эксплойт, и у него будет доступ в течение дня, научите его фишингу, и они будут иметь доступ до конца своей жизни".
Отчет PwC об инциденте подтверждает, что банк подвергся фишингу. Согласно отчету PwC, в августе 2015 года грабитель банка отправил фишинговое письмо с темой «Изменения цен» с поддельного электронного адреса «csdeployment@swift.com» сотруднику банка из домена для выявления опечаток «cncim. Com». «Этот домен был зарегистрирован 27 июля 2015 года. Весьма вероятно, что этот домен был зарегистрирован специально для этой атаки», - говорится в сообщении PwC.
... интересно, что кто-то другой случайно нацелился на тот же банк примерно в то же время. Это говорит о том, что взлом банка широко распространен.
Согласно отчету PwC, использованный фишинговый эксплойт представлял собой разновидность преступного ПО. "Анализ вредоносного ПО, прикрепленного к электронному письму, показывает, что это Adwind 3 , вредоносное ПО, которое хакеры могут покупать [sic] в Интернете. Из-за ограниченного времени мы не можем определить, связано ли это вредоносное ПО напрямую с недавним инцидентом. Однако может показаться, что это вредоносное электронное письмо может быть специально разработано и нацелено на взлом CNBT [Cayman National Bank and Trust] ».
Прикрепленная полезная нагрузка была названа «1_Price_Updates_098123876_docs.jar», и когда сотрудник CNBT щелкнул вложение, он заразил рабочую станцию сотрудника и дал потенциальному грабителю банка точку опоры в сети банка.
В отчете об исследовании Adwind 3 RAT за 2016 год говорится, что это «бэкдор, полностью реализованный на Java и, следовательно, кроссплатформенный. Это очень популярный инструмент, который используется как в массовых спам-кампаниях, так и в целевых атаках на финансовые учреждения по всему миру. Во всех версиях. (Frutas, Adwind, AlienSpy, UNRECOM и JSocket), он был доступен для покупки после регистрации на официальном веб-сайте - концепция, известная как «вредоносное ПО как услуга».
Однако Финеас Фишер сообщает CSO, что фишер - это кто-то другой. «Это был не я, и интересно, что кто-то другой случайным образом нацелился на тот же банк примерно в то же время. Это говорит о том, что взломы банков широко распространены. Я проник через тот же эксплойт Sonicwall SSL / VPN, который я использовал против Hacking Team, не с помощью фишинга ".
Финеас Фишер признался CSO по электронной почте, что использовал Empire и Meterpreter, но не Adwind 3 . «[PwC сообщает] Adwind использовался при попытке фишинга. Да, я просто использовал фреймворк Metasploit. Я просто использовал Empire [RAT]. Я не использовал Adwind и поддерживал постоянство с PowerShell Empire».
Когда в январе 2016 года банк обнаружил несанкционированные транзакции SWIFT, они обратились в PwC для реагирования на инциденты. PwC обнаружила оболочки Финеаса Фишера, очистила зараженные серверы и рабочие станции и установила собственное решение для мониторинга сети SonarShock для анализа сети банка на предмет продолжающихся признаков злонамеренной активности.
Так как же Финеас Фишер получил доступ к отчету о реагировании на инцидент? «Когда PwC начала расследование взлома, они обнаружили, что я использовал Empire и Meterpreter, очистили эти компьютеры и заблокировали эти IP-адреса, но не нашли моего резервного доступа», - написал Финеас Фишер. Когда PwC начала мониторинг сетей, грабитель банков на какое-то время залег на дно. «Я запустил Mimikatz один раз, чтобы получить новые пароли, и с тех пор я мог следить за расследованием, читая их электронные письма в веб-доступе к Outlook».
Mimikatz - это не совсем ракетостроение, люди. Это не было изощренной атакой, и этот факт наверняка вызовет у банков повод для беспокойства, а также воодушевит других грабителей.
Настойчивость и бегство
Вернемся к августу 2015 года. После того, как Финеас Фишер закрепился в сети банка, он отказался от обратной оболочки для поддержания устойчивости, а затем использовал различные инструменты тестирования на проникновение, чтобы наблюдать за сотрудниками банка, совершающими платежи SWIFT. Он также нашел время, чтобы прочитать банковскую документацию о том, как банк обрабатывает исходящие транзакции SWIFT.
Финеас Фишер находился в сети банка в течение пяти месяцев и оставался незамеченным, прежде чем инициировал первую из десяти попыток транзакции SWIFT, в результате которой было получено несколько сотен тысяч фунтов стерлингов - намного меньше, чем, надо отметить, 81 миллион долларов, украденных северокорейскими хакерами. Бангладешский банк в начале 2016 года. После первых нескольких успешных транзакций 5 января 2016 года он столкнулся с проблемами на следующий день и провалил несколько транзакций, в которых использовался неправильный код SWIFT для адресации банка-посредника, написал Финеас Фишер.
Почему этот банк стал мишенью? Финеас Фишер просканировал Интернет на предмет всех уязвимых устройств VPN, для которых он использовал эксплойт, просмотрел результаты обратного DNS для банков и решил, что «Кайман» звучит забавно. «Я не предлагал взломать конкретный банк, - говорится в руководстве, - я просто хотел взломать любой банк, который мог, что оказалось гораздо более простой задачей».
Может быть, ваш банк следующий.
Ограбить банк проще, чем вы думаете, особенно если вам все равно, какой банк вы ограбите, согласно манифесту «как ограбить банк», сделанному, по всей видимости, хакером-линчевателем Финеасом Фишером. Отчет PwC о реагировании на инциденты, который просочился Финеас Фишер, подтверждает это утверждение. В отчете подробно рассказывается о вторжении в управление ограбленного банка Cayman National Bank (Isle of Man) Limited (CNBIOM) и его дочерней компании Cayman National Trust Company (Isle of Man) Limited (CNTIOM).
(PwC отказалась комментировать нарушение Cayman National или отчет об утечке, который указывает на то, что мошеннические транзакции были очищены. В пресс-релизе Cayman National признала нападение, заявив: «В настоящее время нет никаких доказательств финансового хищения или мошенничества. клиентам CNBIOM или CNTIOM или Cayman National ». В нем не упоминались финансовые убытки самого банка.)
Обзор методов, которые использовал Финеас Фишер, дает представление о том, насколько уязвима наша финансовая инфраструктура для злоумышленников, и дает представление о том, как скромно квалифицированному человеку или группе лиц сошло с рук ограбление банка.
Кто такой Финеас Фишер?
Финеас Фишер, который ранее брал на себя ответственность за взлом печально известных кибернаемнических групп Gamma Group и Hacking Team, утверждает, что является частным лицом, заявленными целями которого являются антикапиталистические, антиимпериалистические и анти-слежка. Некоторые подозревают, что Финеас Фишер - это хакерская группа, спонсируемая государством, но нет возможности узнать.
В качестве хакерских инструментов, использованных при ограблении банка в 2016 году, были стандартные инструменты для тестирования на проникновение, такие как PowerShell и Mimikatz. Это означает, что если Финеас Фишер может это сделать, то сможет и любое количество умеренно квалифицированных злоумышленников. Это делает атаку Cayman National примером того, как не защитить свои сети (или как ограбить банк, в зависимости от вашей точки зрения).
Давайте выясним, как произошло ограбление.
Получение точки опоры
«Как гласит старая поговорка, - писал Финеас Фишер (по-испански) в своем руководстве по ограблению банка, - дайте человеку эксплойт, и у него будет доступ в течение дня, научите его фишингу, и они будут иметь доступ до конца своей жизни".
Отчет PwC об инциденте подтверждает, что банк подвергся фишингу. Согласно отчету PwC, в августе 2015 года грабитель банка отправил фишинговое письмо с темой «Изменения цен» с поддельного электронного адреса «csdeployment@swift.com» сотруднику банка из домена для выявления опечаток «cncim. Com». «Этот домен был зарегистрирован 27 июля 2015 года. Весьма вероятно, что этот домен был зарегистрирован специально для этой атаки», - говорится в сообщении PwC.
... интересно, что кто-то другой случайно нацелился на тот же банк примерно в то же время. Это говорит о том, что взлом банка широко распространен.
Согласно отчету PwC, использованный фишинговый эксплойт представлял собой разновидность преступного ПО. "Анализ вредоносного ПО, прикрепленного к электронному письму, показывает, что это Adwind 3 , вредоносное ПО, которое хакеры могут покупать [sic] в Интернете. Из-за ограниченного времени мы не можем определить, связано ли это вредоносное ПО напрямую с недавним инцидентом. Однако может показаться, что это вредоносное электронное письмо может быть специально разработано и нацелено на взлом CNBT [Cayman National Bank and Trust] ».
Прикрепленная полезная нагрузка была названа «1_Price_Updates_098123876_docs.jar», и когда сотрудник CNBT щелкнул вложение, он заразил рабочую станцию сотрудника и дал потенциальному грабителю банка точку опоры в сети банка.
В отчете об исследовании Adwind 3 RAT за 2016 год говорится, что это «бэкдор, полностью реализованный на Java и, следовательно, кроссплатформенный. Это очень популярный инструмент, который используется как в массовых спам-кампаниях, так и в целевых атаках на финансовые учреждения по всему миру. Во всех версиях. (Frutas, Adwind, AlienSpy, UNRECOM и JSocket), он был доступен для покупки после регистрации на официальном веб-сайте - концепция, известная как «вредоносное ПО как услуга».
Однако Финеас Фишер сообщает CSO, что фишер - это кто-то другой. «Это был не я, и интересно, что кто-то другой случайным образом нацелился на тот же банк примерно в то же время. Это говорит о том, что взломы банков широко распространены. Я проник через тот же эксплойт Sonicwall SSL / VPN, который я использовал против Hacking Team, не с помощью фишинга ".
Финеас Фишер признался CSO по электронной почте, что использовал Empire и Meterpreter, но не Adwind 3 . «[PwC сообщает] Adwind использовался при попытке фишинга. Да, я просто использовал фреймворк Metasploit. Я просто использовал Empire [RAT]. Я не использовал Adwind и поддерживал постоянство с PowerShell Empire».
Когда в январе 2016 года банк обнаружил несанкционированные транзакции SWIFT, они обратились в PwC для реагирования на инциденты. PwC обнаружила оболочки Финеаса Фишера, очистила зараженные серверы и рабочие станции и установила собственное решение для мониторинга сети SonarShock для анализа сети банка на предмет продолжающихся признаков злонамеренной активности.
Так как же Финеас Фишер получил доступ к отчету о реагировании на инцидент? «Когда PwC начала расследование взлома, они обнаружили, что я использовал Empire и Meterpreter, очистили эти компьютеры и заблокировали эти IP-адреса, но не нашли моего резервного доступа», - написал Финеас Фишер. Когда PwC начала мониторинг сетей, грабитель банков на какое-то время залег на дно. «Я запустил Mimikatz один раз, чтобы получить новые пароли, и с тех пор я мог следить за расследованием, читая их электронные письма в веб-доступе к Outlook».
Mimikatz - это не совсем ракетостроение, люди. Это не было изощренной атакой, и этот факт наверняка вызовет у банков повод для беспокойства, а также воодушевит других грабителей.
Настойчивость и бегство
Вернемся к августу 2015 года. После того, как Финеас Фишер закрепился в сети банка, он отказался от обратной оболочки для поддержания устойчивости, а затем использовал различные инструменты тестирования на проникновение, чтобы наблюдать за сотрудниками банка, совершающими платежи SWIFT. Он также нашел время, чтобы прочитать банковскую документацию о том, как банк обрабатывает исходящие транзакции SWIFT.
Финеас Фишер находился в сети банка в течение пяти месяцев и оставался незамеченным, прежде чем инициировал первую из десяти попыток транзакции SWIFT, в результате которой было получено несколько сотен тысяч фунтов стерлингов - намного меньше, чем, надо отметить, 81 миллион долларов, украденных северокорейскими хакерами. Бангладешский банк в начале 2016 года. После первых нескольких успешных транзакций 5 января 2016 года он столкнулся с проблемами на следующий день и провалил несколько транзакций, в которых использовался неправильный код SWIFT для адресации банка-посредника, написал Финеас Фишер.
Почему этот банк стал мишенью? Финеас Фишер просканировал Интернет на предмет всех уязвимых устройств VPN, для которых он использовал эксплойт, просмотрел результаты обратного DNS для банков и решил, что «Кайман» звучит забавно. «Я не предлагал взломать конкретный банк, - говорится в руководстве, - я просто хотел взломать любой банк, который мог, что оказалось гораздо более простой задачей».
Может быть, ваш банк следующий.
