Velká bankovní loupež aneb jak Carbanak vytáhl z bank miliardu dolarů

cybercrimeZ dosud zveřejněných informací vyplynulo, že mezinárodní skupina kyberzločinců připravila od roku 2013 téměř 100 bank z 30 zemí celého světa o téměř 1 miliardu dolarů.

Konkrétně se mělo jednat o banky nacházející se na území Austrálie, Brazílie, Bulharska, Kanady, Číny, České republiky, Francie, Německa, Hongkongu, Islandu, Indie, Irska, Maroka, Nepálu, Norska, Polska, Pakistánu, Rumunska, Ruska, Španělska, Švýcarska, Tchaj-wanu, Ukrajiny, Velké Británie, a Spojených států amerických.

Za vektor útoku byl označen spear phishing, kdy e-mail, adresovaný zaměstnancům bank obsahoval přílohu se škodlivým kódem, který evidentně nebyl detekován žádným antivirem. Příloha e-mailu údajně obsahovala soubor s příponou CPL. (Mimochodem, ta již byla použita v operaci Ementál.) A onen škodlivý kód nazvaný Anunak byl založen na známém malwaru Carberp, a zaznamenával jména a hesla používaná pro přihlášení do bankovních systémů, nahrával dění na obrazovce, a umožnil se k napadenému počítači připojit a na dálku ho pak ovládat. (Poznámka: Jméno Carbanak vzniklo spojením Anunak a Carberp).

K převodu peněz na účet útočníka pak mělo dojít ovládnutím konkrétního bankovního systému, kdy si útočník pomocí malwaru na napadeném počítači nahrál, jakým způsobem zaměstnanec banky v systému převod peněz realizuje, následně pak měl tento převod sám provést. Pokud je pravda, že mnoho ruských bank používá stejný bankovní systém, nelze se divit, že tam byli útočníci tak úspěšní.

Další způsob, jakým se útočnicí k hotovosti dostali, pak bylo ovládnutí SW bankomatu, který ve stanovený čas vychrlil obsah svých útrob, rozuměj bankovek, které člen gangu, jež se na daném místě též nacházel, posbíral. Takovýto útok už není tak překvapující, neboť se jedná jen o drobnou modifikaci útoku na ATM, o kterém jsme již psali.

V této souvislosti by mě docela zajímalo, jaké antivirové řešení tyto banky používaly a zda náhodou alespoň jedna z těchto bank nepoužívala řešení od Kaspersky Lab. Docela bych se divil, kdyby tomu tak nebylo, obzvlášť když se v první řadě mělo jednat o ruské banky.

Je zajímavé, že přes výše uvedené skutečnosti se první zmínka o připravovaném útoku objevila až v říjnu 2014, tedy o necelý rok později, než měl samotný útok začít. A nepřišlo se na něj díky nějaké pokročilé detekci síťových anomálií, jak by si mnozí přáli, ale spíše náhodou, a to monitoringem vybraných diskusních fór umístěných kdesi v Darknetu. A vlastní šetření se rozběhlo až v okamžiku, kdy se na Kaspersky Lab obrátila sama napadená banka.

Stále se však nemohu zbavit dojmu, že se ze strany společnosti Kaspersky Lab jedná spíše o snahu se zviditelnit a zvýšit objem prodeje svého AV řešení a realita bude nakonec trochu jiná. Nechce se mi uvěřit tomu, že by téměř 100 bank pochybilo a došlo v nich k takovému bezprecedentnímu selhání bezpečnostních opatření a kompromitaci tolika různých bankovních systémů.

Jako mnohem pravděpodobnější se mi jeví, že útočníci zneužili někoho ze stávajících zaměstnanců ke spolupráci, anebo se nechali v dané bance zaměstnat, což bylo ostatně uvedeno i v první zprávě, která se k tomu chystanému útoku objevila.

Jako značně kontroverzní též vidím uvedení jednotlivých zemí, jejichž banky měly být údajně napadeny, aniž by byl předložen nějaký důkaz. Tato skutečnost může mít negativní dopad na rating nejen těchto bank.

A jestli byl seznam těchto zemí vygenerován jen čistě na základě přítomnosti souboru .bin, svchost.exe nebo paexec ve Windows na některém z počítačů nacházející se dle GeoIP na území České republiky, tak je to smutné, a obávám se, že tomu tak v mnoha případech i bylo.

Tomu, že to všechno bude asi trochu jinak, nasvědčuje i zpráva Fox-It z prosince minulého roku, která hovoří výhradně o útocích na ruské banky, a která byla dnes též aktualizována. Zde zase najdete oficiální stanovisko Kasperky Lab a PDF report.

Poznámka: Toto je živý příspěvek a může být průběžně upravován.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2015. Velká bankovní loupež aneb jak Carbanak vytáhl z bank miliardu dolarů. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/velka-bankovni-loupez-aneb-jak-carbanak-vytahl-z-bank-miliardu-dolaru/. [citováno 07.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Miroslav Čermák

    Šéf hackerské skupiny, která stojí za útokem popsaným v článku výše, byl po několika letech dopaden ve Španělsku. Skoro by se chtělo věřit, že boží mlýny melou pomalu, ale jistě, a že spravedlnosti nakonec nikdo neunikne, více zde: https://www.europol.europa.eu/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-in-spain


K článku “Velká bankovní loupež aneb jak Carbanak vytáhl z bank miliardu dolarů” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: