High Roller, czyli chmura na usługach cyberprzestępców
Data: 12 lipca 2012 | Autor: Mikołaj Rutkowski | Brak komentarzy »
Zajmująca się cyberbezpieczeństwem firma McAfee (należąca od jakiegoś czasu do Intela) poinformowała niedawno o odkryciu i unieszkodliwieniu gigantycznego systemu nakierowanego na okradanie kont bankowych zamożnych osób. Nowością w jego działaniu jest wykorzystanie koncepcji chmury, z zaawansowanymi możliwościami przetwarzania po stronie serwerów i niemal pełną automatyzacją funkcji.
Specjaliści z McAfee i współpracującej z nimi firmy Guardian Analytics określili całe przedsięwzięcie operacją „High Roller”, co było bezpośrednim nawiązaniem do celu biznesowego tego kryminalnego przedsięwzięcia, czyli zmasowanych kradzieży z rachunków bankowych dużych kwot (rzędu 100 tysięcy euro).
Ofiarami nie padali jednak najbogatsi klienci banków, ale zdecydowanie dobrze sytuowani, niemniej jednak nie pasujący jeszcze do określenia „milioner”. Wartość sald atakowanych rachunków wahała się od 300 do 600 tysięcy dolarów. Wyprowadzane kwoty były przelewane na rachunki biznesowe, zakładane na fikcyjne przedsiębiorstwa. McAfee nie był w stanie oszacować całkowitego łupu przestępców, określając go niezwykle szeroko, tj. stwierdzając, że skradziono nie mniej niż 78 milionów dolarów, ale wartość strat może sięgać nawet 2 miliardów dolarów!
Grupa precyzyjnie sterowała działaniem całego systemu, kierując go najpierw na banki europejskie, potem na południowoamerykańskie, aż wreszcie dotarła do Stanów Zjednoczonych. Na tym terenie nie rozwinięto jednak skrzydeł, ponieważ specjaliści od bezpieczeństwa zebrali dosyć danych i informacji, aby przekazać je organom ścigania i unieszkodliwić przestępców. Ogółem łupem przestępców padło ponad 60 różnych instytucji bankowych.
Sam mechanizm wykorzystywany przez przestępców był sprawdzony. Do potencjalnych ofiar wysyłano spreparowaną wiadomość e-mail, udającą klasyczną korespondencję bankową i zwierającą link do robaka, który instalował się na komputerze ofiary. Następnie używając klasycznych technik w rodzaju web injection, robak wykradał dane dostępowe do rachunków bankowych i przesyłał je na serwery opanowane przez gang. Przy projektowaniu robaków wykorzystywano głównie kod szeroko znanych i sprawdzonych platform ZeuS oraz SpyEye. Poziom wyrafinowania systemu był tak duży, że pozwalał nawet na przełamanie podwójnej autoryzacji operacji (np. z dodatkowym wykorzystaniem kodu przesyłanego klientowi banku SMS-em).
Niestandardowy był poziom automatyzacji całego procederu. Zazwyczaj przestępcy pozyskują informacje wrażliwe, a następnie ręcznie wykonują przelewy na swoje rachunki. Tym razem ich miejsce zajęło 60 współpracujących serwerów oraz wyrafinowane oprogramowanie, potrafiące automatycznie rozpoznawać formularze bankowości on-line i w poprawny sposób je wypełniać. Dzięki wykorzystaniu chmury w ciągu minuty przestępcy mogli wykonywać dosłownie tysiące prób wyprowadzenia środków.
Wiele wskazuje na to, że gang wszedł w posiadanie dokumentacji systemów bankowości elektronicznej, którą wykorzystał dla stworzenia odpowiedniej funkcjonalności swojego oprogramowania. Jak przyznają specjaliści z McAfee zadbano nawet o odpowiednie zacieranie śladów, zarówno po stronie historii transakcji widocznej dla klienta, jak i logów systemów bankowości elektronicznej. Niestety bliższych szczegółów nie podano.
Interesujące jest także to, że przestępcy wydają się doskonale orientować w logice systemów antyfraudowych, stosowanych przez banki. Schemat realizacji transferów był tak zaplanowany, aby nie zostać wykrytym przez popularne algorytmy generujące alerty podejrzanych operacji. Logika systemu uwzględniała nawet aspekty behawioralne – robaki nie przeprowadzały transakcji od razu, ale najpierw wykonywały standardowe operacje, w rodzaju przeglądania historii rachunku, czy czytania otrzymanych komunikatów. Zwrócono także uwagę na odpowiednie interwały czasowe zarówno w ramach przeprowadzanie jednej operacji, jak i okresów między wieloma operacjami.
Opisany przypadek jest kolejnym przyczynkiem do jak najszybszego tworzenia rozwiązań chroniących klientów instytucji finansowych przez tego rodzaju kradzieżami, określanymi popularnie jako ACH fraud (od Automated Clearing House – czyli różnego rodzaju przelewów inicjowanych i przeprowadzanych elektronicznie, nie tylko przez samych klientów, ale też np. w postaci zleceń direct debit). Eksperci w zakresie cyberbezpieczeństwa oraz zwalczania nadużyć od kilku lat alarmują, że oszustwa ACH staną się dominującym typem nadużycia w sektorze finansowym. Liczbowo (ale nie wartościowo) mogą one ustąpić jedynie wyłudzeniom kredytowym.
Skomentuj wpis
Musisz być zalogowany/a, żeby zamieszczać komentarze.