Киберпреступная группировка Carbanak украла сотни миллионов долларов из финансовых учреждений. Вот подробный анализ Bitdefender атаки на один банк.
За последние несколько лет увеличилось количество атак на финансовые организации со стороны изощренных киберпреступных групп, которые используют ручные взломы и скрытые методы, чтобы оставаться скрытыми . Теперь исследователи из Bitdefender выпустили отчет о вторжении, которое они расследовали в неназванном банке, в котором подробно описаны действия этих злоумышленников и показано, как быстро они могут получить контроль над сетью.
Взлом был совершен Carbanak, группировкой нескольких киберпреступных группировок, которые украли сотни миллионов долларов у банков и других организаций по всему миру. Подразделения Carbanak известны под разными именами, включая CobaltGoblin, EmpireMonkey и FIN7, группу, которая специализируется на нацеливании на системы точек продаж (PoS) в секторах розничной торговли и гостеприимства.
Подозреваемый лидер Carbanak был арестован в марте 2018 года в Испании, но деятельность Carbanak продолжалась. В период с марта по май 2018 года Bitdefender обнаружил несколько фишинговых кампаний, приписываемых Carbanak. Эти атаки выдавали себя за IBM; Spamhaus, организация по борьбе со спамом; VeriFon, производитель PoS-терминалов; международная платежная система SWIFT; шведская компания; поставщик ценных бумаг; и Европейский центральный банк.
Одна из этих кампаний распространяла вредоносные документы, содержащие эксплойты к трем известным уязвимостям удаленного выполнения кода в Microsoft Office. Их цель состояла в том, чтобы развернуть имплант из среды тестирования на проникновение Cobalt Strike и загрузить дополнительные полезные нагрузки и инструменты.
Два часа на доступ к сети
Согласно судебно-медицинскому расследованию Bitdefender, два сотрудника взломанного банка открыли вредоносные документы из кампании Carbanak в один и тот же день. Через два часа злоумышленникам уже удалось получить учетные данные администратора для контроллера домена, что дало им неограниченный доступ к нескольким системам из сети банка.
Bitdefender не задокументировал, как были захвачены учетные данные администратора, но исследования атак Carbanak, проведенные в прошлом другими компаниями по безопасности, показали, что один из методов заключается в установке клавиатурных шпионов и последующей отправке электронных писем из учетной записи взломанного сотрудника ИТ-администратору, утверждая, что их компьютер работает медленно. Затем злоумышленники ждут, пока администратор удаленно войдет в систему, чтобы устранить проблему и получить свои учетные данные.
Другие методы включают в себя кражу локально сохраненного простого текста или хешированных учетных данных с помощью таких инструментов, как Mimikatz, перебор учетных данных администратора, если они недостаточно надежны, или использование учетных данных, полученных заранее с помощью других методов.
63 дня необнаружены
Другой интересный аспект этой атаки заключается в том, что, несмотря на очень быструю компрометацию контроллера домена, злоумышленники оставались в сети незамеченными, выявляя и компрометируя другие системы в течение следующих 63 дней. За это время они составили карту сети, изучили внутренние процедуры банка и установили соединение VPN с внешним сервером управления и контроля. По большей части их боковые движения выполнялись в нерабочее время, чтобы снизить шансы быть обнаруженными.
Злоумышленники потратили первые 30 дней на компрометацию систем и выявление ценной информации, которую они могли украсть, включая руководства, руководства и обучающие материалы для различных внутренних приложений, используемых банком. Затем, в течение следующих 17 дней, эти документы были тщательно собраны на выбранной злоумышленниками конечной точке сети, где они были заархивированы и организованы в разные папки для удаления.
«Эта информация имела отношение к планированию атаки на банк и, возможно, на другие банки, использующие похожие системы», - отмечают исследователи Bitdefender в своем отчете. «Киберпреступная группа могла бы активно улучшать свое понимание внутренних банковских систем, собирая и изучая этот тип информации, в попытке сделать свои атаки более эффективными и скрытыми».
Carbanak нацелен на финансовые организации из разных регионов мира, и хотя некоторые банковские процедуры стандартизированы, многие банки используют собственные приложения внутри компании и имеют разные рабочие процессы. В прошлом злоумышленники Carbanak даже устанавливали программное обеспечение для записи экрана на взломанные рабочие станции, чтобы узнать, как сотрудники банка используют эти приложения.
Исследователи Bitdefender считают, что целью злоумышленников было в конечном итоге получить доступ к сети банкоматов банка и обманным путем снять наличные с помощью денежных мулов. Carbanak успешно проводил такие атаки в прошлом, поэтому кража денег в банкоматах является частью их методов работы.
Несмотря на то, что в данном случае эта цель не была достигнута, злоумышленникам все же удалось получить доступ к большим частям ИТ-сети банка, и их действия по боковому перемещению показывают, что они умеют уклоняться от обнаружения и точно знают, какой тип информации они ищут. .
Что делать защитникам?
«Что действительно важно, так это то, что организации больше сосредотачиваются на сокращении времени обнаружения потенциальной утечки данных, а не на предотвращении этих атак», - говорит CSO Ливиу Арсен, старший аналитик электронных угроз Bitdefender. «Жизненно важно, чтобы злоумышленники были остановлены на этапе разведки, прежде чем совершить свое последнее ограбление».
Организации должны проверить, как учетные данные администратора используются в их сетях, и должны ограничить административный доступ к устройствам. Должны существовать четкие политики относительно того, когда и на каких типах устройств администраторам следует разрешить использовать свои учетные данные. Microsoft предоставляет некоторые инструкции по применению таких ограничений в своем блоге по базовой инфраструктуре и безопасности.
Кроме того, тот факт, что большинство хакерских действий выполнялись в нерабочее время, может предоставить защитникам возможность обнаружения. В этом случае злоумышленники получили доступ к внутренним рабочим станциям, используя протокол RDP и действующие учетные данные администратора, как и настоящие администраторы. Это было бы трудно отличить от законной активности в течение дня, но организации могли бы развернуть решения для обозначения таких действий как подозрительных, если они были выполнены в нерабочее время.
«Установка средств управления безопасностью, которые ограничивают удаленный доступ на уровне администратора к критически важной инфраструктуре, и развертывание средств обнаружения сети и конечных точек и реагирования, которые выявляют аномальное поведение, может помочь поднять необходимые сигналы безопасности, которые могут выявить потенциальное нарушение», - говорит Арсен.
Наконец, поскольку вектор атаки в большинстве этих нарушений - это вредоносный документ, доставленный с помощью целевого фишинга, организациям следует развернуть решение безопасности, которое автоматически открывает и анализирует вложения электронной почты в контролируемых средах, таких как песочницы, для обнаружения потенциально вредоносного поведения. И сотрудников следует регулярно обучать обнаружению фишинговых писем.
За последние несколько лет увеличилось количество атак на финансовые организации со стороны изощренных киберпреступных групп, которые используют ручные взломы и скрытые методы, чтобы оставаться скрытыми . Теперь исследователи из Bitdefender выпустили отчет о вторжении, которое они расследовали в неназванном банке, в котором подробно описаны действия этих злоумышленников и показано, как быстро они могут получить контроль над сетью.
Взлом был совершен Carbanak, группировкой нескольких киберпреступных группировок, которые украли сотни миллионов долларов у банков и других организаций по всему миру. Подразделения Carbanak известны под разными именами, включая CobaltGoblin, EmpireMonkey и FIN7, группу, которая специализируется на нацеливании на системы точек продаж (PoS) в секторах розничной торговли и гостеприимства.
Подозреваемый лидер Carbanak был арестован в марте 2018 года в Испании, но деятельность Carbanak продолжалась. В период с марта по май 2018 года Bitdefender обнаружил несколько фишинговых кампаний, приписываемых Carbanak. Эти атаки выдавали себя за IBM; Spamhaus, организация по борьбе со спамом; VeriFon, производитель PoS-терминалов; международная платежная система SWIFT; шведская компания; поставщик ценных бумаг; и Европейский центральный банк.
Одна из этих кампаний распространяла вредоносные документы, содержащие эксплойты к трем известным уязвимостям удаленного выполнения кода в Microsoft Office. Их цель состояла в том, чтобы развернуть имплант из среды тестирования на проникновение Cobalt Strike и загрузить дополнительные полезные нагрузки и инструменты.
Два часа на доступ к сети
Согласно судебно-медицинскому расследованию Bitdefender, два сотрудника взломанного банка открыли вредоносные документы из кампании Carbanak в один и тот же день. Через два часа злоумышленникам уже удалось получить учетные данные администратора для контроллера домена, что дало им неограниченный доступ к нескольким системам из сети банка.
Bitdefender не задокументировал, как были захвачены учетные данные администратора, но исследования атак Carbanak, проведенные в прошлом другими компаниями по безопасности, показали, что один из методов заключается в установке клавиатурных шпионов и последующей отправке электронных писем из учетной записи взломанного сотрудника ИТ-администратору, утверждая, что их компьютер работает медленно. Затем злоумышленники ждут, пока администратор удаленно войдет в систему, чтобы устранить проблему и получить свои учетные данные.
Другие методы включают в себя кражу локально сохраненного простого текста или хешированных учетных данных с помощью таких инструментов, как Mimikatz, перебор учетных данных администратора, если они недостаточно надежны, или использование учетных данных, полученных заранее с помощью других методов.
63 дня необнаружены
Другой интересный аспект этой атаки заключается в том, что, несмотря на очень быструю компрометацию контроллера домена, злоумышленники оставались в сети незамеченными, выявляя и компрометируя другие системы в течение следующих 63 дней. За это время они составили карту сети, изучили внутренние процедуры банка и установили соединение VPN с внешним сервером управления и контроля. По большей части их боковые движения выполнялись в нерабочее время, чтобы снизить шансы быть обнаруженными.
Злоумышленники потратили первые 30 дней на компрометацию систем и выявление ценной информации, которую они могли украсть, включая руководства, руководства и обучающие материалы для различных внутренних приложений, используемых банком. Затем, в течение следующих 17 дней, эти документы были тщательно собраны на выбранной злоумышленниками конечной точке сети, где они были заархивированы и организованы в разные папки для удаления.
«Эта информация имела отношение к планированию атаки на банк и, возможно, на другие банки, использующие похожие системы», - отмечают исследователи Bitdefender в своем отчете. «Киберпреступная группа могла бы активно улучшать свое понимание внутренних банковских систем, собирая и изучая этот тип информации, в попытке сделать свои атаки более эффективными и скрытыми».
Carbanak нацелен на финансовые организации из разных регионов мира, и хотя некоторые банковские процедуры стандартизированы, многие банки используют собственные приложения внутри компании и имеют разные рабочие процессы. В прошлом злоумышленники Carbanak даже устанавливали программное обеспечение для записи экрана на взломанные рабочие станции, чтобы узнать, как сотрудники банка используют эти приложения.
Исследователи Bitdefender считают, что целью злоумышленников было в конечном итоге получить доступ к сети банкоматов банка и обманным путем снять наличные с помощью денежных мулов. Carbanak успешно проводил такие атаки в прошлом, поэтому кража денег в банкоматах является частью их методов работы.
Несмотря на то, что в данном случае эта цель не была достигнута, злоумышленникам все же удалось получить доступ к большим частям ИТ-сети банка, и их действия по боковому перемещению показывают, что они умеют уклоняться от обнаружения и точно знают, какой тип информации они ищут. .
Что делать защитникам?
«Что действительно важно, так это то, что организации больше сосредотачиваются на сокращении времени обнаружения потенциальной утечки данных, а не на предотвращении этих атак», - говорит CSO Ливиу Арсен, старший аналитик электронных угроз Bitdefender. «Жизненно важно, чтобы злоумышленники были остановлены на этапе разведки, прежде чем совершить свое последнее ограбление».
Организации должны проверить, как учетные данные администратора используются в их сетях, и должны ограничить административный доступ к устройствам. Должны существовать четкие политики относительно того, когда и на каких типах устройств администраторам следует разрешить использовать свои учетные данные. Microsoft предоставляет некоторые инструкции по применению таких ограничений в своем блоге по базовой инфраструктуре и безопасности.
Кроме того, тот факт, что большинство хакерских действий выполнялись в нерабочее время, может предоставить защитникам возможность обнаружения. В этом случае злоумышленники получили доступ к внутренним рабочим станциям, используя протокол RDP и действующие учетные данные администратора, как и настоящие администраторы. Это было бы трудно отличить от законной активности в течение дня, но организации могли бы развернуть решения для обозначения таких действий как подозрительных, если они были выполнены в нерабочее время.
«Установка средств управления безопасностью, которые ограничивают удаленный доступ на уровне администратора к критически важной инфраструктуре, и развертывание средств обнаружения сети и конечных точек и реагирования, которые выявляют аномальное поведение, может помочь поднять необходимые сигналы безопасности, которые могут выявить потенциальное нарушение», - говорит Арсен.
Наконец, поскольку вектор атаки в большинстве этих нарушений - это вредоносный документ, доставленный с помощью целевого фишинга, организациям следует развернуть решение безопасности, которое автоматически открывает и анализирует вложения электронной почты в контролируемых средах, таких как песочницы, для обнаружения потенциально вредоносного поведения. И сотрудников следует регулярно обучать обнаружению фишинговых писем.
