נחשפו תרגילים חדשים וחקיינים של Carbanak - קבוצת שודדי הבנקים הנודעת

דף הבית >> חדשות אבטחה ועולם הסייבר >> נחשפו תרגילים חדשים וחקיינים של Carbanak - קבוצת שודדי הבנקים הנודעת

נחשפו תרגילים חדשים וחקיינים של Carbanak - קבוצת שודדי הבנקים הנודעת
מאת: מערכת Telecom News, 10.2.16, 14:19שוד כספים

Carbanak חזר כ-Carbanak 2.0 ונחשפו גם 2 כנופיות נוספות של עברייני סייבר הפועלות בסגנון דומה: Metel ו-GCMAN. יש תנועה מתקיפת משתמשים לתקיפה ישירה של בנקים.

שנה לאחר שמעבדת קספרסקי התריעה, שעברייני סייבר מתחילים לאמץ כלים ושיטות של מתקפות ריגול מגובות מדינה כדי לשדוד בנקים, היא מאשרת את חזרתו של Carbanak, המוגדר הפעם כ- Carbanak 2.0 וחושפת 2 קבוצות נוספות הפועלות בסגנון דומה: Metel ו- GCMAN. הקבוצות תוקפות ארגונים פיננסים באמצעות פעילות מודיעין סמויה, בסגנון מתקפות ריגול (APT) וקוד זדוני מותאם, יחד עם תוכנה לגיטימית ושיטות חדשניות לחילוץ הכסף.

קבוצת עברייני הסייבר Metel מחזיקה בתרגילים רבים בספר התרגילים שלה, אבל היא מעניינת במיוחד בגלל שיטת עבודה חכמה במיוחד: באמצעות השגת שליטה על מכונות בבנק שיש להן גישה לפעולות כספיות (כגון מרכז שירות / מחשבי תמיכה), הכנופיה יכולה לבצע רול-בק אוטומטי (גלגול לאחור) של פעולות בכספומט.

יכולת הרול-בק מבטיחה כי המאזן בכרטיסי חיוב נותר זהה, ללא קשר למספר עסקאות הכספומט שבוצעו. במקרים, שנצפו עד היום, קבוצת העבריינים גונבת כסף תוך נסיעה בערים ברוסיה במהלך הלילה וריקון של מכשירי כספומט השייכים למספר בנקים - באופן חוזר באמצעות אותם כרטיסי חיוב שהונפקו ע"י הבנק שנפגע. כך, שבמהלך לילה אחד בלבד הם מצליחים להשלים גניבות כספים עצומות.
 
METAL
 
במהלך החקירה נחשף, שמפעילי Metel משיגים את ההדבקה הראשונית באמצעות הודעות דוא"ל של פישינג ממוקד עם קבצים זדוניים מצורפים ובאמצעות חבילת הפריצה Niteris הם מנצלים פרצות בדפדפן הקורבן. ברגע שהם בתוך הרשת, עברייני הסייבר משתמשים בכלי בדיקות פריצה (Pentest) לגיטימיים כדי לבצע תנועה רוחבית במערכת, כשהם מפצחים את בקר הדומיין המקומי, ובסופו של דבר מאתרים ומשיגים שליטה על מחשבים המשמשים את עובדי הבנק האחראים לעיבוד כרטיסי חיוב.

קבוצת Metel עודנה פעילה והחקירה לגבי פעילותה עדיין נמשכת. עד עתה לא זוהתה אף התקפה מחוץ לרוסיה, ועדיין, ישנו חשד מבוסס, שההדבקה היא רחבה בהרבה, ומומלץ לבנקים ברחבי העולם לבדוק באופן אקטיבי את הנושא.

כל 3 הכנופיות שזוהו עוברות לשימוש בקוד זדוני בליווי תוכנה לגיטימית: מדוע לכתוב ולפתח כלים עצמאיים רבים, כאשר כלים לגיטימיים יכולים להיות יעילים באותה מידה ולהפעיל הרבה פחות אזעקות?

במונחי חמקנות, קבוצת GCMAN עולה על האחרות: לעיתים היא יכולה לתקוף ארגון בהצלחה מבלי להשתמש כלל בקוד זדוני באמצעות הרצה של כלי בדיקת חדירה לגיטימיים בלבד. במקרים שנחקרו נראה, ש-GCMAN השתמשו ב- Putty, VNC ו- Meterpreter כדי להתקדם לרוחב הרשת עד שהגיעו למכונה היכולה לשמש להעברת כסף לשירותי מטבע אלקטרוניים מבלי להדליק התרעה במערכות של בנקים אחרים.

בהתקפה אחת, שזוהתה ע"י החברה, עברייני הסייבר שהו ברשת במשך שנה וחצי עד שהפעילו את הגניבה. הכסף הועבר בסכומים של כ-200 דולרים, הגבול העליון להעברת כספים אנונימית ברוסיה. בכל דקה, תזמון CRON הפעיל קוד זדוני וסכום נוסף הועבר לחשבונות מטבע אלקטרוניים השייכים ל"בלדר כסף".

פקודות ההעברה נשלחו ישירות לשער גישה ולא הוצגו באף מערכת פנימית של הבנק.

ואחרון, Carbanak 2.0, מסמן את חזרתו של איום הריגול Carabank, עם אותם כלים וטכניקות אבל עם פרופיל קורבן שונה ודרכים חדשניות לחילוץ הכסף. ב- 2015, המטרות של Carbanak 2.0 לא היו בנקים בלבד, אלא מחלקות תקציב וחשבונות בכל ארגון בעל עניין. במקרה אחד שנסקר, קבוצת Carbanak 2.0 קיבלה גישה לארגון פיננסי ומשם המשיכה כדי לשנות את הרשאות הבעלות עבור חברה גדולה. המידע שונה כדי ש"בלדר  הכסף" יירשם כבעל מניות של החברה תוך הצגת נתוני הזיהוי שלו.

מומלץ לכל הארגונים לסרוק בזהירות את הרשת שלהם אחר נוכחות של Carbanak, Metel ו-GCMAN. אם התרחש זיהוי, יש לנקות את המערכות ולדווח על החדירה לרשויות אכיפת החוק.  מידע נוסף.
 
סרגיי גולבאנוב, חוקר אבטחה ראשי בצוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי: "השלב הפעיל במתקפת סייבר הופך כיום לקצר יותר. כאשר תוקפים הופכים למיומנים בפעולה מסוימת, לוקח להם מספר ימים או שבוע בלבד לקחת את מה שהם רוצים ולברוח.

התקפות של גופים פיננסים שנחשפו ב-2015 מצביעות על מגמה מדאיגה במסגרתה עברייני סייבר מאמצים מתקפות בסגנון ריגול.

כנופיית Carbanak הייתה רק הסנונית הראשונה: עברייני סייבר לומדים כעת במהירות כיצד להשתמש בטכניקות חדשות בפעילות שלהם, ואנו רואים רבים יותר נעים מתקיפת משתמשים לתקיפה ישירה של בנקים. ההיגיון שלהם פשוט: שם נמצא הכסף.

אנו מתכוונים להציג כיצד והיכן גורמי האיום עלולים לפגוע כדי לקחת את הכסף שלך. אני מצפה. שלאחר ששמעת על התקפות GCMAN, תלך ותבדוק כיצד שרתי הבנק המקוון שלך מוגנים. כחלק מחקירת Carbanak, אנו ממליצים להגן על בסיס הנתונים המכיל מידע לגבי הבעלים של החשבונות, ולא רק על המאזן שלהם".
 
 

CARBANAK

GCMAN
 

 



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

15.5.17 - Bynet Expo 2017

18/5/17 - Israel's Annual Programmatic Video conference 

15/6/17 - CRYPTODAY 2017 

25-29/6/17 - Cyber Week 2017  

3/7/17 - 2017 Afeka Conference for Speech Processing  

15-17/8/17 - אליפות ישראל לספורט אלקטרוני 2017  

2/11/17 - 28/10/17 - German Tel Aviv Week 2017  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לאפריל 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

התרגיל לחיסול "השוק הסיטונאי" כבר כמעט מוכן, קוראים לו Vectoring - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

הפלופ הבא של "השוק הסיטונאי" שירות SLU (שבלעדיו הנוטשים יחזרו לבזק) - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

האם נטפליקס זקוקה לרישיון כדי לפעול, לשדר ולמכור שירותים בישראל? - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

20 המובילים ומקבלי הצל"ש בשנת 2016 בעולם התקשורת וההייטק הישראלי - כאן
 
זרקור חברות
 
TLV-Generator
 
TLV-Generator
 
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
TLV-Generator
 
TLV-GENERATOR
 
טלי וייס
 
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים