2018-12-06
W latach 2017-2018 eksperci z Kaspersky Lab uczestniczyli w akcji reagowania na incydent związany z serią cyberkradzieży w organizacjach finansowych w Europie Wschodniej.

Badacze odkryli, że w każdym przypadku do sieci korporacyjnej włamywano się przy użyciu nieznanego urządzenia kontrolowanego przez atakujących, które zostało przemycone do budynku firmy i podłączone do sieci. Jak dotąd zaatakowanych w ten sposób zostało co najmniej osiem banków w regionie Europy Wschodniej, a straty szacuje się na dziesiątki milionów dolarów.

Cyberprzestępcy wykorzystywali trzy rodzaje urządzeń: laptop, Raspberry Pi (komputer o rozmiarze karty kredytowej) lub Bash Bunny (specjalnie zaprojektowane narzędzie do automatyzacji i przeprowadzania ataków poprzez port USB). Wszystkie te urządzenia były wyposażone w modem GPRS, 3G lub LTE, który umożliwiał atakującym zdalne przeniknięcie do sieci korporacyjnej atakowanej organizacji finansowej.     

Po ustanowieniu połączenia cyberprzestępcy próbowali uzyskać dostęp do serwerów WWW w celu kradzieży danych, których potrzebowali do uruchomienia protokołu pozwalającego na uzyskanie zdalnego dostępu (Remote Desktop Protocol, RDP) na wybranym komputerze, a następnie przechwycenia środków pieniężnych lub danych. Na końcowym etapie atakujący stosowali oprogramowanie zdalnej administracji w celu utrzymania dostępu do zainfekowanego komputera działającego w sieci atakowanej organizacji finansowej.

Przez ostatnie półtora roku obserwowaliśmy całkowicie nowy rodzaj ataków na banki, dość wyrafinowany i złożony pod względem wykrywania. Punkt wejścia do sieci korporacyjnej pozostawał przez długi czas nieznany, ponieważ mógł być zlokalizowany w dowolnym biurze w dowolnym regionie. Nie zdołaliśmy znaleźć zdalnie tych nieznanych urządzeń, które zostały przemycone i ukryte przez intruzów. Dodatkowo, atakujący wykorzystywali legalne narzędzia, które jeszcze bardziej komplikowały reagowanie na incydent – powiedział Siergiej Golowanow, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab. 

W celu zapewnienia sobie ochrony przed tą nietypową metodą cyberataków instytucje finansowe powinny podjąć następujące działania:

·         Zadbaj o monitorowanie urządzeń połączonych z internetem i zwróć uwagę na dostęp do sieci korporacyjnej, stosując rozwiązanie takie jak Kaspersky Endpoint Security for Business.

·         Wyeliminuj luki w zabezpieczeniach, w tym te dotyczące niewłaściwej konfiguracji sieci.

·         Korzystaj z wyspecjalizowanego rozwiązania do ochrony przed zaawansowanymi cyberzagrożeniami, które potrafi wykrywać wszystkie rodzaje anomalii i badać podejrzaną aktywność w sieci na głębszym poziomie w celu zidentyfikowania, rozpoznania i zdemaskowania złożonych ataków. Przykładem takiego rozwiązania jest Kaspersky Anti Targeted Attack Platform.

Szczegóły techniczne dotyczące omawianych ataków są dostępne na stronie http://r.kaspersky.pl/KR6ST.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.

Nadesłał: Kaspersky Lab Polska Sp. z o.o. http://kaspersky.pl