![\"Kaspersky](\"http:\/\/www.pcvesti.com\/wp-content\/gallery\/logos_comp_pcv\/kaspersky_lab.jpeg\")
<\/p>\n<\/p>\n
Jedna ruska kompanija je kontaktirala Kaspersky Lab, tra\u017ee\u0107i da se istra\u017ei incident u kojem je umalo ukradeno \u010dak 130,000 dolara sa korporativnog ra\u010duna. <\/span>Predstavnici kompanije su posumnjali da se malver krije iza ovog incidenta. <\/span>Ta sumnja je potvr\u0111ena ve\u0107 tokom prvog dana istrage.<\/span><\/p>\n Sajber kriminalci su inficirali kompjutere kompanije tako \u0161to su poslali email sa malicioznim prilogom, na kojem je bilo nazna\u010deno da je poslat iz dr\u017eavne poreske uprave; <\/span><\/span><\/p>\n<\/li>\n Kako bi osigurali da iz daljine imaju pristup ra\u010dunovo\u0111inom ra\u010dunaru unutar korporativne mre\u017ee, upotrebljena je modifikovana verzija legitimnog programa;<\/span><\/span><\/p>\n<\/li>\n Malver program je iskori\u0161\u0107en da se ukrade novac. On je sadr\u017eao elemente bankarskog Trojan Carberp-a \u010diji je izvorni kod javno dostupan;<\/span><\/span><\/p>\n<\/li>\n Sajber kriminalci su napravili gre\u0161ku u pode\u0161avanjima C&C servera, \u0161to je omogu\u0107ilo stru\u010dnjacima iz Kaspersky Lab-a da otkriju IP adresu ostalih zara\u017eenih kompjutera i upozore vlasnike istih na opasnost. <\/span><\/span><\/p>\n<\/li>\n<\/ul>\n Banka, \u010dije usluge kompanija koja se na\u0161la na meti finansijskih sajber kriminalaca koristi, spre\u010dila je poku\u0161aj transakcije u iznosu od 130,000 dolara. Me\u0111utim, sajber kriminalci su uspeli da prenesu 8,000 dolara, po\u0161to je taj iznos bio dovoljno mali da ne izazove sumnju kod bankarskih slu\u017ebenika, a nije zahtevao ni dodatno odobrenje ra\u010dunovo\u0111e klijenta. <\/span><\/span><\/p>\n Eksploit. Stru\u010dnjaci Kaspersky Lab Global Emergency Response tima (GERT) su, od organizacije koja se na\u0161la na udaru, dobili pristup hard drajvu (drive) napadnutog komjutera. Po\u0161to su ga prou\u010dili, brzo su detektovali sumnjiv mail, navodno poslat od strane dr\u017eavne poreske uprave sa zahtevom da odmah dostave odre\u0111enu dokumentaciju. Lista dokumenata koji su zatra\u017eeni je prilo\u017eena kao Word dokument. On je sistem izlo\u017eio opasnosti, s obzirom da je bio zara\u017een sa CVE-2012-0158<\/a> koji je aktiviran kada je dokument otvoren i sam je sa internet preuzeo drugi maliciozni program na ra\u010duanr kompanije. <\/span><\/span><\/p>\n Dva Trojanca. Na \u010dvrstom disku zara\u017eenog ra\u010dunara GERT stru\u010dnjaci su prona\u0161li modifikovanu verziju legitimnog programa dizajniranog da omogu\u0107i pristup ra\u010dunaru sa daljine. <\/span>Ovi programi su vrlo \u010desto kori\u0161\u0107eni od strane ra\u010dunovo\u0111a ili administratora sistema. Me\u0111utim, verzija programa koja je prona\u0111ena na ra\u010dunaru \u017ertve je bio modifikovan tako da sakrije svoje prisustvo u zara\u017eenom sistemu: njegova ikonica na Windows Taskbar-u je bila skrivena, registar aktivnosti na kojem su sa\u010duvana pode\u0161avanja je bio izmenjen, a grafi\u010dki korisni\u010dki interfejs je bio onemogu\u0107en. Proizvodi Kaspersky Lab-a su blokirali ovaj program sa presudom \u201cBackdoor.Win32.RMS.\u201d <\/span><\/span><\/p>\n Ali, ovo nije bio jedini maliciozni program detektovan na ra\u010dunaru \u017ertve. Dalja istraga je pokazala da je jo\u0161 jedan backdoor (Backdoor.Win32.Agent) preuzet na pomenuti ra\u010dunar uz pomo\u0107 Backdoor.Win32.RMS-a. Sajber kriminalci su na ovaj na\u010din obezbedili daljinski Virtual Network Computing (VNC) pristup zara\u017eenom kompjuteru. Neverovatno, elementi bankarskog Trojan Carberp-a su detektovani u kodu Backdoor.Win32.Agent. Izvorni kod Carberp-a je objavljen<\/a> ranije ove godine. <\/span><\/span><\/p>\n Uz pomo\u0107 Backdoor.Win32.RMS-a, sajber kriminalci su sa internet preuzeli Trojan Backdoor.Win32.Agent na kompjuter \u017ertve. Backdoor.Win32.Agent im je omogu\u0107io da preuzmu kontrolu nad kompjuterom. Na taj na\u010din su iz daljine napisali ilegalni platni nalog u bankarskom sistemu i verifikovali ga IP adresom kompjutera ra\u010dunovo\u0111e, koja je od strane banke vi\u0111ena kao pouzdana. Ali, kako su sajber kriminalci do\u0161li do ra\u010dunovo\u0111inih korisni\u010dkih lozinki? Eksperti su nastavili da istra\u017euju i otkrili jo\u0161 jedan maliciozan program, Trojan-Spy.Win32.Delf. To je bio keylogger (program za kra\u0111u lozinki) koji je presreo sve podatke unete putem tastature. <\/span>Na taj na\u010din su sajber kriminalci ukrali ra\u010dunovo\u0111ine lozinke i uspeli da obave ilegalnu transakciju.<\/span><\/span><\/p>\n Nove \u017ertve. Kada se istraga bli\u017eila kraju, stru\u010dnjaci su otkrili jo\u0161 jednu zanimljivu \u010dinjenicu: svim malicioznim programima, koji su iskori\u0161\u0107eni u napadu, se upravlja preko C&C servera, \u010dija je IP adresa pripadala istoj podmre\u017ei. Prilikom pokretanja ove podmre\u017ee, sajber kriminalci su napravili gre\u0161ku koja je omogu\u0107ila ekspertima iz Kaspersky Lab-a da otkriju IP adrese ostalih kompjutera koji su zara\u017eeni Trojan-Spy.Win32.Delf-om. To su, ve\u0107inom, bili ra\u010dunari malih ili srednjih preduze\u0107a. Kaspersky Lab je odmah kontaktirao vlasnike zara\u017eenih kompjutera i upozorio ih na pretnju.<\/span><\/span><\/p>\n \u201cIako se ova pri\u010da desila u Rusiji, sa tehni\u010dkog stanovi\u0161ta, to nije ne\u0161to \u0161to je karakteristi\u010dno za odre\u0111enu zemlju. Zapravo, ova vrsta sajber kriminala se veoma malo razlikuje od dr\u017eave do dr\u017eave. \u0160irom sveta ve\u0107ina kompanija koristi verzije Windows-a ili Microsoft Office-a koje mogu sadr\u017eati propuste. Tako\u0111e, postoji mala razlika u na\u010dinu interakcije finansijskih slu\u017ebi i banaka preko bankarskih servisa u razli\u010ditim zemljama. Ovo olak\u0161ava posao sajber kriminalcima koji kradu novac preko daljinskih bankovnih sistema.\u201d rekao je Mikhail Prokhorenko, analiti\u010dar malvera u Kaspersky Lab\u2019s Global Emergency Response timu. <\/span><\/span><\/p>\n Da bi umanjili rizik od kra\u0111e novca sa korporativnih ra\u010duna, stru\u010dnjaci Kaspersky Lab-a savetuju organizacije koje koriste daljinski pristup bankarskim sistemima da postave pouzdanu multi-faktornu autentifikaciju uklju\u010duju\u0107i tokene, jednokratne lozinke dobijene od strane banke i sl.), da se osiguraju da je softver, instaliran na ra\u010dunarima kompanije, blagovremeno a\u017euriran (ovo je posebno va\u017eno za kompjutere koji se koriste u finansijskim odeljenjima), da za\u0161tite svoje ra\u010dunare odre\u0111enim bezbednosnim re\u0161enjem, obu\u010di osoblje da prepozna znake napada i da odgovaraju\u0107e reaguje u slu\u010daju takvih situacija. <\/span><\/span><\/p>\n Za detaljnije obja\u0161njenje o tome kako je ovaj incident istra\u017een od strane Kaspersky Lab-a, mo\u017eete p<\/span><\/span>ro\u010ditati u \u010dlanku<\/span><\/span> Mikhaila Prokhorenka na Securelist.com<\/a>.<\/span><\/span><\/p>\n \n","protected":false},"excerpt":{"rendered":" Jedna ruska kompanija je kontaktirala Kaspersky Lab, tra\u017ee\u0107i da se istra\u017ei incident u kojem je umalo ukradeno \u010dak 130,000 dolara sa korporativnog ra\u010duna. Predstavnici kompanije su posumnjali da se malver krije iza ovog incidenta. Ta sumnja je potvr\u0111ena ve\u0107 tokom prvog dana istrage. Sajber kriminalci su inficirali kompjutere kompanije tako \u0161to su poslali email sa malicioznim prilogom, na kojem je bilo nazna\u010deno da je poslat iz dr\u017eavne poreske uprave; Kako bi osigurali… <\/p>\n\n