Egy nyomozás története

Egy pénzügyi kibertámadás titkai

Hogyan loptak el kiberbűnözők majdnem 130 ezer dollárnyi összeget és hol követték el azt az apró hibát?

_{2014.09.11 21:00Szilágyi Szabolcs - ma.hu}

Kinyomtatom

+Nagyobb betűméret-Kisebb betűméret

_{Freedigitalphotos chanpipat}

Egy orosz vállalat megkérte a Kaspersky Lab-et egy incidens kivizsgálására, melynek során több mint 130.000 dollárt kíséreltek meg ellopni a cég bankszámlájáról. A vezetők rosszindulatú programot sejtettek a történtek hátterében, és gyanújuk már a vizsgálat első napjaiban beigazolódott.

Kiberbűnözők megfertőzték a vállalat számítógépeit egy rosszindulatú mellékletet tartalmazó e-maillel, amelyről úgy tűnt, hogy az állami adóhatóságtól érkezett. Hogy távoli hozzáférést szerezzenek a könyvelő a vállalati hálózathoz csatlakozó számítógépéhez, a hackerek egy legális program módosított változatát használták.

A pénz ellopására egy rosszindulatú programot használtak. Ez a Carberp banki trójai elemeit tartalmazta, amelynek a forráskódja nyilvánosan elérhető. A kiberbűnözők hibáztak C&C szervereik konfigurálásakor, lehetővé téve a Kaspersky Lab szakértőinek, hogy felfedjék más fertőzött számítógépek IP címét, és figyelmeztessék tulajdonosaikat a veszélyre.

A pénzügyekre szakosodott kiberbűnözők által megtámadott vállalat bankja blokkolta a megkísérelt 130.000 dolláros tranzakciót. Azonban a hackerek sikeresen végrehajtottak egy 8.000 dolláros kifizetést, mivel az összeg túlságosan kicsi volt ahhoz, hogy riassza a bankot, és nem igényelt további jóváhagyást az ügyfél könyvelőjétől.

Ahogy a vizsgálat a befejezéséhez közeledett, a szakértők újabb érdekességet fedeztek fel: a támadásban résztvevő összes rosszindulatú programot olyan C&C szerverekről irányították, amelyek IP-címe ugyanahhoz az alhálózathoz tartozott. Amikor ezt az alhálózatot létrehozták, a kiberbűnözők elkövettek egy hibát, amely lehetővé tette a Kaspersky Lab szakértőinek, hogy kiderítsék a Trojan-Spy.Win32.Delf-fel megfertőzött további számítógépek IP-címét. Bebizonyosodott, hogy ezeknek a gépeknek a többsége kis- és középvállalkozások tulajdonában van, amelyeket a Kaspersky Lab azonnal figyelmeztetett a veszélyre.

"Habár az incidens Oroszországban történt, technikai szempontból nem nevezhető ország specifikusnak: valójában ez a fajta kiberbűncselekmény országonként kevéssé tér el. Világszerte a legtöbb vállalat a Windows és az Office különféle változatait használja, amelyek kijavítatlan sérülékenységeket tartalmazhatnak. Ugyancsak kevéssé különböznek egymástól az egyes országokban azok a módszerek, amelyekkel a vállalatok pénzügyi osztályai kapcsolódnak a banki szolgáltatásokhoz. Ez megkönnyíti a kiberbűnözők helyzetét, akik a távoli bankolást lehetővé tevő rendszerek révén próbálnak meg pénzt lopni." - mondta Mikhail Prokhorenko, a Kaspersky Lab Global Emergency Response Team malware elemzője.

Annak érdekében, hogy csökkentsék a céges bankszámlákról való pénzlopás kockázatát, a szakértők azt tanácsolják a távoli bankolási rendszereket használó szervezeteknek, hogy hozzanak létre megbízható, többfaktoros hitelesítést (tokenekkel, egyszer használatos, a bank által kiadott jelszavakkal stb.). Emellett gondoskodjanak róla, hogy a vállalati számítógépekre telepített szoftvereket azonnal frissítsék (különösen a pénzügyi osztályokon használtakat); védjék ezeket a számítógépeket egy biztonsági megoldással; valamint képezzék ki az alkalmazottakat arra, hogy felismerjék a támadások jeleit és ezekre megfelelően reagáljanak.

Hozzáadom a könyvjelzőhözKüldd ide: DeliciousKüldd ide: DiggKüldd ide: FacebookKüldd ide: myspaceKüldd ide: twitter