Tyrimas: Carbanak gauja grįžta norėdama daugiau pinigų
ESET pateikia analizę apie naujus kenkėjiškų programų pavyzdžius, kuriuos naudojo Carbanak grupuotė, atsakinga už sudėtingas milijonų dolerių, kreditinių kortelių ir intelektinės nuosavybės vagystes.
Rugpjūčio pabaigoje ESET telemetrinė įranga užfiksavo naujus dėl sudėtingų grėsmių liūdnai pagarsėjusios grupuotės, žinomos Carbanak pavadinimu, pėdsakus. ESET tyrėjai atliko išsamią analizę apie šių kibernetinių sukčių veiklą, kurią pateikia tyrime „Carbanak gauja grįžta ir ruošia naujus ginklus“.
Analizėje atskleidžiama, kad Carbanak grupuotė toliau tęsia atakas prieš tikslines grupes – su finansais susijusias institucijas, įskaitant bankus, Forex prekybos įmones, net Amerikos kazino viešbutį, o daugiausia nuo šios grupuotės nukentėjusiųjų asmenų galima aptikti Jungtinėse Amerikos valstijose, Vokietijoje, Jungtiniuose Arabų Emyratuose ir Jungtinėje Karalystėje.
„Siekdami užkrėsti norimas sistemas, apgavikai pasitelkia daugiau nei vieną kenkėjiškų programų šeimą. Nors jos yra skirtingos, tačiau patalpinti kodai turi panašių bruožų, įskaitant tą patį skaitmeninį sertifikatą“, – komentuoja ESET sprendimus platinančios įmonės „Baltimax“ produktų vadovas Deividas Švėgžda.
Pasak specialisto, pirmasis šios gaujos naudotas komponentas Win32/Spy.Agent.ORM, kuris yra žinomas kaip Win32/Toshliph arba Win32/Wemosis, geba per „galines duris“ (angl. backdoor) rinkti „Point-of-Sale“ sistemų atmintyje saugomus duomenis, tokius kaip kreditinių kortelių duomenis. Tiesa, ši kenkėjiška programa turi panašumų ir su „standartiniais“ Carbanak kenkėjiškais kodais, kuriuos ESET aptinka Win32/Spy.Sekur pavadinimu.
Svarbu pabrėžti, kad kibernetiniai sukčiai nuolatos atnaujina savo įrankius pagal naujausius programų pažeidžiamumus, pavyzdžiui, Microsoft Office nuotolinio kodo vykdymo pažeidžiamumą (CVE-2015-1770) ar pagal nulinius (angl. zero-day) pažeidžiamumus, kurie nutekėjo į Hacking Team komandos rankas (CVE-2015-2426).
Daugiau informacijos apie Carbanak kibernetinių sukčių grupuotę rasite ESET analizėje.
ESET tyrėjų komanda toliau tęsia Carbanak grupuotės veiklą. Dėl bet kokių tyrimų ar įrodymų pateikimo, kviečiama kreiptis el. paštu: threatintel@eset.com.