Для современного человека все многообразие вредоносного ПО описывается словом «вирус».
Однако вирусы в классическом понимании (основной особенностью которых является самовоспроизведение) уже давно перестали занимать лидирующие позиции в рейтинге компьютерных угроз.
На первое место вышли черви и трояны — они могут вымогать деньги (пресловутые Trojan.Winlocker и Trojan.Ransom), собирать информацию о пользователе (пароли и списки контактов, которым они рассылаются для увеличения охвата), а также красть крупные суммы денег без знания жертвы (а это может быть как простой пользователь, так и крупная компания или банк).
Очевидно, что злоумышленники пишут вредоносный код не для развлечения — образ подростка-хакера, взломавшего локальную школьную сеть, уходит в прошлое.
Сейчас киберпреступность представляет собой огромный и очень насыщенный теневой рынок с большим оборотом, который растет с каждым днем.
Оценить масштаб ситуации довольно сложно – судить можно только по новостным лентам, в которых все чаще упоминаются «вредоносные программы», «мошенники» и астрономические суммы денег.
Но даже такой подход не дает полной картины — информация о большинстве случаев остается недоступной для широкой общественности (из-за несовершенства российского законодательства, которое не обязывает компании раскрывать информацию в случае утечки персональных данных).
Стоит понимать, что информация в прессе редко бывает подробной и описывает происшествия в общих чертах без конкретики, из-за чего читатель никак не связывает происходящее с реальной жизнью.
Описанный ниже инцидент произошел совсем недавно в одной из российских компаний, представитель которой обратился к нам, как к разработчику решений по информационной безопасности, с просьбой помочь в расследовании инцидента и поделился информацией.
Мне удалось поговорить с сисадмином, компания которого только благодаря счастливой случайности не потеряла миллион рублей, а сценарий этого происшествия больше похож на сюжет фильма о грабителях, чем на события, произошедшие в реальности.
жизнь.
По понятным причинам системный администратор предпочел остаться анонимным.
Цель – клиент банка
Пострадавшей в этом деле едва не стала московская компания, клиент одного из крупных банков.Причиной интереса злоумышленников именно к этой компании стало использование предоставляемых банком услуг ДБО (дистанционного банкинга).
Одна из машин в компьютерном парке компании обеспечивала регулярный доступ к ДБО банка, и именно этот компьютер подвергся атаке.
Несмотря на установленный в системе антивирус (кстати, довольно известного производителя), вредоносный код внедрялся и выполнялся без каких-либо препятствий.
Это достаточно наглядный пример неадекватности сигнатур в борьбе с целенаправленными атаками и угрозами нулевого дня.
Дата теракта была выбрана неслучайно – все произошло 29 декабря, фактически, перед самым Новым годом.
Если бы нападавшим удалось осуществить свой план, потери не были бы замечены еще как минимум десять дней.
Сценарий атаки
К сожалению, выяснить, как вредоносное приложение попало на атакуемую машину, не удалось.Но с определенной долей уверенности можно сказать, что дело не могло произойти без действий инсайдеров.
Одно из подтверждений — уникальный вредоносный код, не замеченный антивирусом (и, соответственно, не обнаруженный в антивирусных базах).
Если бы это была массовая атака, ее заметили бы достаточно быстро, сигнатура вредоносного ПО была бы занесена в базу практически на следующий день, после чего план злоумышленников провалился бы.
Соответственно, должен был быть кто-то, кто располагал информацией об использовании компанией ДБО, примерных суммах и даже, возможно, используемых компанией средствах защиты информации.
Учитывая возможность причастности к данному инциденту инсайдеров, вредоносная программа могла проникнуть в систему любым способом - отправленным по электронной почте от доверенного отправителя, принесенным на флэш-накопителе одним из клиентов компании или даже запущенным инсайдером.
на машине вручную.
Вредоносное ПО оказалось трояном, либо управляемым удаленно, либо работающим автономно.
Известно лишь, что троянец работал по следующему сценарию: • Ожидание подключения ключа к системе (сертификат, выданный банком, расположенный на внешнем носителе) • Чтение ключа • Чтение логина и пароля для доступа к ДБО • Запрос на перевод денег на счет злоумышленника – была попытка вывода примерно одного миллиона рублей (в случае автономной работы – просто отправка всех данных злоумышленнику) • Загрузка приложения kill.exe, которое уничтожает следы вредоносного ПО очень грубым способом - убивая всю систему (приложение создавало в каталоге с драйверами файл, который при попытке прочитать приводил к краху системы) Следы действий злоумышленника были обнаружены только после отключения атакуемой машины и то только по оставшимся на прокси-сервере журналам.
От потери значительной суммы денег компанию спасла лишь счастливая случайность — злоумышленник попытался вывести фиксированную сумму денег, которой не было на счету, так как незадолго до этого сотрудникам компании была выплачена зарплата.
Сколько раз они говорили миру
Этот инцидент далеко не первый и уж точно не последний в истории киберпреступлений.Авария, которая спасла финансы компании, была просто удачным стечением обстоятельств.
Не всем так повезло – по словам системного администратора, жертвой мошенников стала еще одна компания-партнер, со счета которой была украдена шестикратная сумма денег.
Им остается только надеяться на благополучный исход расследования.
Теги: #информационная безопасность #антивирусы #dbo #insight #информационная безопасность
-
Бесплатные Статьи Для Вашего Веб-Сайта
19 Oct, 24 -
Google, Наш Интернет В Их Руках.
19 Oct, 24 -
367 Обновлений В 8.10 Alpha6
19 Oct, 24
