Jedna ruska kompanija je kontaktirala Kaspersky Lab, tražeći da se istraži incident u kojem je umalo ukradeno čak 130,000 dolara sa korporativnog računa. Predstavnici kompanije su posumnjali da se malver krije iza ovog incidenta. Ta sumnja je potvrđena već tokom prvog dana istrage.

• Sajber kriminalci su inficirali kompjutere kompanije tako što su poslali email sa malicioznim prilogom, na kojem je bilo naznačeno da je poslat iz državne poreske uprave;

• Kako bi osigurali da iz daljine imaju pristup računovođinom računaru unutar korporativne mreže, upotrebljena je modifikovana verzija legitimnog programa;

• Malver program je iskorišćen da se ukrade novac. On je sadržao elemente bankarskog Trojan Carberp-a čiji je izvorni kod javno dostupan;

• Sajber kriminalci su napravili grešku u podešavanjima C&C servera, što je omogućilo stručnjacima iz Kaspersky Lab-a da otkriju IP adresu ostalih zaraženih kompjutera i upozore vlasnike istih na opasnost.

Banka, čije usluge kompanija koja se našla na meti finansijskih sajber kriminalaca koristi, sprečila je pokušaj transakcije u iznosu od 130,000 dolara. Međutim, sajber kriminalci su uspeli da prenesu 8,000 dolara, pošto je taj iznos bio dovoljno mali da ne izazove sumnju kod bankarskih službenika, a nije zahtevao ni dodatno odobrenje računovođe klijenta.

Eksploit. Stručnjaci Kaspersky Lab Global Emergency Response tima (GERT) su, od organizacije koja se našla na udaru, dobili pristup hard drajvu (drive) napadnutog komjutera. Pošto su ga proučili, brzo su detektovali sumnjiv mail, navodno poslat od strane državne poreske uprave sa zahtevom da odmah dostave određenu dokumentaciju. Lista dokumenata koji su zatraženi je priložena kao Word dokument. On je sistem izložio opasnosti, s obzirom da je bio zaražen sa CVE-2012-0158 koji je aktiviran kada je dokument otvoren i sam je sa internet preuzeo drugi maliciozni program na račuanr kompanije.

Dva Trojanca. Na čvrstom disku zaraženog računara GERT stručnjaci su pronašli modifikovanu verziju legitimnog programa dizajniranog da omogući pristup računaru sa daljine. Ovi programi su vrlo često korišćeni od strane računovođa ili administratora sistema. Međutim, verzija programa koja je pronađena na računaru žrtve je bio modifikovan tako da sakrije svoje prisustvo u zaraženom sistemu: njegova ikonica na Windows Taskbar-u je bila skrivena, registar aktivnosti na kojem su sačuvana podešavanja je bio izmenjen, a grafički korisnički interfejs je bio onemogućen. Proizvodi Kaspersky Lab-a su blokirali ovaj program sa presudom “Backdoor.Win32.RMS.”

Ali, ovo nije bio jedini maliciozni program detektovan na računaru žrtve. Dalja istraga je pokazala da je još jedan backdoor (Backdoor.Win32.Agent) preuzet na pomenuti računar uz pomoć Backdoor.Win32.RMS-a. Sajber kriminalci su na ovaj način obezbedili daljinski Virtual Network Computing (VNC) pristup zaraženom kompjuteru. Neverovatno, elementi bankarskog Trojan Carberp-a su detektovani u kodu Backdoor.Win32.Agent. Izvorni kod Carberp-a je objavljen ranije ove godine.

Uz pomoć Backdoor.Win32.RMS-a, sajber kriminalci su sa internet preuzeli Trojan Backdoor.Win32.Agent na kompjuter žrtve. Backdoor.Win32.Agent im je omogućio da preuzmu kontrolu nad kompjuterom. Na taj način su iz daljine napisali ilegalni platni nalog u bankarskom sistemu i verifikovali ga IP adresom kompjutera računovođe, koja je od strane banke viđena kao pouzdana. Ali, kako su sajber kriminalci došli do računovođinih korisničkih lozinki? Eksperti su nastavili da istražuju i otkrili još jedan maliciozan program, Trojan-Spy.Win32.Delf. To je bio keylogger (program za krađu lozinki) koji je presreo sve podatke unete putem tastature. Na taj način su sajber kriminalci ukrali računovođine lozinke i uspeli da obave ilegalnu transakciju.

Nove žrtve. Kada se istraga bližila kraju, stručnjaci su otkrili još jednu zanimljivu činjenicu: svim malicioznim programima, koji su iskorišćeni u napadu, se upravlja preko C&C servera, čija je IP adresa pripadala istoj podmreži. Prilikom pokretanja ove podmreže, sajber kriminalci su napravili grešku koja je omogućila ekspertima iz Kaspersky Lab-a da otkriju IP adrese ostalih kompjutera koji su zaraženi Trojan-Spy.Win32.Delf-om. To su, većinom, bili računari malih ili srednjih preduzeća. Kaspersky Lab je odmah kontaktirao vlasnike zaraženih kompjutera i upozorio ih na pretnju.

“Iako se ova priča desila u Rusiji, sa tehničkog stanovišta, to nije nešto što je karakteristično za određenu zemlju. Zapravo, ova vrsta sajber kriminala se veoma malo razlikuje od države do države. Širom sveta većina kompanija koristi verzije Windows-a ili Microsoft Office-a koje mogu sadržati propuste. Takođe, postoji mala razlika u načinu interakcije finansijskih službi i banaka preko bankarskih servisa u različitim zemljama. Ovo olakšava posao sajber kriminalcima koji kradu novac preko daljinskih bankovnih sistema.” rekao je Mikhail Prokhorenko, analitičar malvera u Kaspersky Lab’s Global Emergency Response timu.

Da bi umanjili rizik od krađe novca sa korporativnih računa, stručnjaci Kaspersky Lab-a savetuju organizacije koje koriste daljinski pristup bankarskim sistemima da postave pouzdanu multi-faktornu autentifikaciju uključujući tokene, jednokratne lozinke dobijene od strane banke i sl.), da se osiguraju da je softver, instaliran na računarima kompanije, blagovremeno ažuriran (ovo je posebno važno za kompjutere koji se koriste u finansijskim odeljenjima), da zaštite svoje računare određenim bezbednosnim rešenjem, obuči osoblje da prepozna znake napada i da odgovarajuće reaguje u slučaju takvih situacija.

Za detaljnije objašnjenje o tome kako je ovaj incident istražen od strane Kaspersky Lab-a, možete pročitati u članku Mikhaila Prokhorenka na Securelist.com.