У современного человека все многообразие вредоносного программного обеспечения описывается словом «вирус». Однако вирусы в классическом их понимании (имеющие саморепликацию основной особенностью) уже давно не занимают лидирующих позиций в рейтинге компьютерных угроз. На первое место вышли черви и трояны – они могут как вымогать деньги (печально известные Trojan.Winlocker и Trojan.Ransom), собирать информацию о пользователе (пароли и списки контактов, по которым они рассылаются для увеличения покрытия), так и похищать крупные суммы денег без ведома жертвы (а ей может быть как простой пользователь, так и крупная компания или банк).
Очевидно, что злоумышленники занимаются написанием вредоносного кода не ради развлечения – образ подростка-хакера, ломающего локальную школьную сеть, уходит в прошлое. Теперь киберпреступления это огромный и очень насыщенный теневой рынок с большим оборотом, растущий с каждым днем.
Масштабы ситуации оценить достаточно сложно – судить остается только по новостным лентам, в которых все чаще и чаще упоминаются «вредоносное ПО», «мошенники» и астрономические суммы денег. Но даже и такой подход не дает полной картины – информация о большинстве случаев остается недоступной для широкой общественности (в силу несовершенства законодательства РФ, не обязующего компании раскрывать информацию при утечках персональных данных). Стоит понимать, что информация в прессе редко бывает подробной и описывает происшествия в общих чертах без конкретики, в силу чего читатель никак не связывает происходящее с реальной жизнью. Случай же, описанный ниже, произошел совсем недавно в одной из российских компаний, представитель которой обратился к нам, как к разработчику решений по информационной безопасности, с просьбой помочь в расследовании инцидента и поделился информацией.
Мне удалось побеседовать с системным администратором, компания которого лишь благодаря счастливой случайности не лишилась миллиона рублей, причем сценарий данного инцидента похож скорее на сюжет фильма про взломщиков, чем на события, которые произошли в реальной жизни. По понятным причинам системный администратор предпочел остаться неизвестным.
Жертвой в данном случае едва не стала московская компания, являющаяся клиентом одного из крупных банков. Причина, по которой злоумышленников заинтересовала именно эта компания – использование предоставляемых банком услуг ДБО (дистанционного банковского обслуживания). С одной из машин компьютерного парка компании осуществлялся регулярный доступ к услугам ДБО банка, именно этот компьютер и подвергся атаке.
Несмотря на установленный в системе антивирус (к слову, от достаточного известного производителя), вредоносный код был внедрен и исполнялся без каких-либо препятствий. Это достаточно яркий пример несостоятельности сигнатур в деле борьбы с целевыми атаками и угрозами нулевого дня.
Не случайно был выбрана и дата атаки – все произошло 29 декабря, фактически, перед самым Новым годом. Если бы злоумышленникам удалось осуществить свой план, пропажи не заметили бы еще как минимум десять дней.
К сожалению, не удалось выяснить, каким образом вредоносное приложение попало на атакованную машину. Но с определенной долей уверенности можно утверждать, что без действий инсайдеров дело не обошлось. Одно из подтверждений – уникальный вредоносный код, не замеченный антивирусом (и, соответственно, не находящийся в антивирусных базах). Если бы это была массовая атака, ее бы заметили достаточно быстро, сигнатуру вредоноса занесли бы в базы чуть ли не на следующий день, после чего план злоумышленников бы провалился.
Соответственно, должен был быть некто, имеющий информацию об использовании данной компанией ДБО, примерных суммах, и даже, возможно, об используемых компанией средствах информационной безопасности.
Учитывая возможность участия в этом инциденте инсайдеров, вредонос мог попасть в систему каким угодно образом – прислан по e-mail от доверенного отправителя, принесен на флешке одним из клиентов компании или даже запущен инсайдером на машине вручную.
Вредоносом оказался троян, либо управляемый удаленно, либо работающий автономно. Известно только, что троян работал по следующему сценарию:
• Ожидание момента подключения к системе ключа (сертификата, выданного банком, находящегося на внешнем носителе)
• Считывание ключа
• Считывание логина и пароля доступа к ДБО
• Запрос на перевод денег на счет взломщика – была попытка вывести примерно один миллион рублей (в случае с автономной работой – просто отсылка всех данных злоумышленнику)
• Скачивание приложения под названием kill.exe, которое уничтожает следы пребывания вредоноса весьма грубо – убивая всю систему целиком (приложение создавало в директории с драйверами файл, при попытке чтения которого система рушилась)
Следы действий злоумышленника удалось обнаружить только после вывода атакованной машины из строя, и то только по логам, оставшимся на прокси-сервере. От потери солидной суммы денег компанию спасла лишь счастливая случайность – злоумышленник пытался вывести фиксированную сумму денег, которой на счету не оказалось, поскольку незадолго до этого сотрудникам компании выплатили зарплату.
Данный инцидент – далеко не первый и уж точно не последний в истории киберпреступлений. Спасшая финансы компании случайность – лишь удачно сложившиеся обстоятельства. Так повезло не всем – по словам системного администратора, жертвой мошенников стала еще одна компания-партнер, у которой со счета увели в шесть раз большую сумму денег. Надеяться им остается только на удачный исход расследования.
Очевидно, что злоумышленники занимаются написанием вредоносного кода не ради развлечения – образ подростка-хакера, ломающего локальную школьную сеть, уходит в прошлое. Теперь киберпреступления это огромный и очень насыщенный теневой рынок с большим оборотом, растущий с каждым днем.
Масштабы ситуации оценить достаточно сложно – судить остается только по новостным лентам, в которых все чаще и чаще упоминаются «вредоносное ПО», «мошенники» и астрономические суммы денег. Но даже и такой подход не дает полной картины – информация о большинстве случаев остается недоступной для широкой общественности (в силу несовершенства законодательства РФ, не обязующего компании раскрывать информацию при утечках персональных данных). Стоит понимать, что информация в прессе редко бывает подробной и описывает происшествия в общих чертах без конкретики, в силу чего читатель никак не связывает происходящее с реальной жизнью. Случай же, описанный ниже, произошел совсем недавно в одной из российских компаний, представитель которой обратился к нам, как к разработчику решений по информационной безопасности, с просьбой помочь в расследовании инцидента и поделился информацией.
Мне удалось побеседовать с системным администратором, компания которого лишь благодаря счастливой случайности не лишилась миллиона рублей, причем сценарий данного инцидента похож скорее на сюжет фильма про взломщиков, чем на события, которые произошли в реальной жизни. По понятным причинам системный администратор предпочел остаться неизвестным.
Цель – клиент банка
Жертвой в данном случае едва не стала московская компания, являющаяся клиентом одного из крупных банков. Причина, по которой злоумышленников заинтересовала именно эта компания – использование предоставляемых банком услуг ДБО (дистанционного банковского обслуживания). С одной из машин компьютерного парка компании осуществлялся регулярный доступ к услугам ДБО банка, именно этот компьютер и подвергся атаке.
Несмотря на установленный в системе антивирус (к слову, от достаточного известного производителя), вредоносный код был внедрен и исполнялся без каких-либо препятствий. Это достаточно яркий пример несостоятельности сигнатур в деле борьбы с целевыми атаками и угрозами нулевого дня.
Не случайно был выбрана и дата атаки – все произошло 29 декабря, фактически, перед самым Новым годом. Если бы злоумышленникам удалось осуществить свой план, пропажи не заметили бы еще как минимум десять дней.
Сценарий атаки
К сожалению, не удалось выяснить, каким образом вредоносное приложение попало на атакованную машину. Но с определенной долей уверенности можно утверждать, что без действий инсайдеров дело не обошлось. Одно из подтверждений – уникальный вредоносный код, не замеченный антивирусом (и, соответственно, не находящийся в антивирусных базах). Если бы это была массовая атака, ее бы заметили достаточно быстро, сигнатуру вредоноса занесли бы в базы чуть ли не на следующий день, после чего план злоумышленников бы провалился.
Соответственно, должен был быть некто, имеющий информацию об использовании данной компанией ДБО, примерных суммах, и даже, возможно, об используемых компанией средствах информационной безопасности.
Учитывая возможность участия в этом инциденте инсайдеров, вредонос мог попасть в систему каким угодно образом – прислан по e-mail от доверенного отправителя, принесен на флешке одним из клиентов компании или даже запущен инсайдером на машине вручную.
Вредоносом оказался троян, либо управляемый удаленно, либо работающий автономно. Известно только, что троян работал по следующему сценарию:
• Ожидание момента подключения к системе ключа (сертификата, выданного банком, находящегося на внешнем носителе)
• Считывание ключа
• Считывание логина и пароля доступа к ДБО
• Запрос на перевод денег на счет взломщика – была попытка вывести примерно один миллион рублей (в случае с автономной работой – просто отсылка всех данных злоумышленнику)
• Скачивание приложения под названием kill.exe, которое уничтожает следы пребывания вредоноса весьма грубо – убивая всю систему целиком (приложение создавало в директории с драйверами файл, при попытке чтения которого система рушилась)
Следы действий злоумышленника удалось обнаружить только после вывода атакованной машины из строя, и то только по логам, оставшимся на прокси-сервере. От потери солидной суммы денег компанию спасла лишь счастливая случайность – злоумышленник пытался вывести фиксированную сумму денег, которой на счету не оказалось, поскольку незадолго до этого сотрудникам компании выплатили зарплату.
Уж сколько раз твердили миру
Данный инцидент – далеко не первый и уж точно не последний в истории киберпреступлений. Спасшая финансы компании случайность – лишь удачно сложившиеся обстоятельства. Так повезло не всем – по словам системного администратора, жертвой мошенников стала еще одна компания-партнер, у которой со счета увели в шесть раз большую сумму денег. Надеяться им остается только на удачный исход расследования.