خبرا: البنوك في مواجهة هجمات جديدة

بعد مرور عام على تحذيرات كاسبرسكي لاب بأن مجرمي الإنترنت سيبدأون باستخدام أدوات وتكتيكات مدعومة بما يعرف بالهجمات المتقدمة المستمرة (APTS) المنتشرة على المستوى المحلي، أكدت الشركة عودة ظهور عصابة Carbanak الإلكترونية ولكن بإصدار جديد يعرف باسم Carbanak 2.0، حيث تمكنت الشركة من كشف النقاب عن مجموعتين إضافيتين تتبعان نفس الأسلوب: وهما عصابة Metel وعصابة GCMAN. تستهدف هذه العصابة المؤسسات المالية باستخدام نمط التحقيق السري في الهجمات المستمرة المتقدمة (APT) وبرمجيات خبيثة مصممة وفق أغراض محددة، إلى جانب البرامج النظامية وخطط جديدة ومبتكرة للحصول على النقد.
وقد أعلن فريق التحليلات والأبحاث العالمي في كاسبرسكي لاب عن ذلك خلال قمة كاسبرسكي لاب للتحليل الأمني (SAS)، وهو حدث سنوي يجمع أبرز باحثي ومطور برامج مكافحة البرمجيات الخبيثة ووكالات إنفاذ القوانين يربط الباحثون مكافحة البرمجيات الخبيثة والمطورين، ووكالات إنفاذ القانون العالمية و CERTs وأعضاء من مجتمع الأبحاث الأمنية.
وتستخدم عصابة مجرمي الإنترنت Metel الكثير من الخدع في خططها الهجومية، إلا أن المثير للاهتمام حولها أن لديها خطط ذكية للغاية: ومن خلال تمكنها من التحكم بالأجهزة داخل البنوك التي تتيح الوصول إلى المعاملات النقدية (مثل أجهزة الكمبيوتر المثبتة في مراكز الاتصال / دعم العملاء) تستطيع العصابة التحكم بأتمتة حركة لفافات أوراق قيد معاملات أجهزة الصراف الآلي.
وتضمن إمكانية التحكم بحركة لفافات أوراق قيد معاملات أجهزة الصراف الآلي بقاء رصيد بطاقات الخصم من الحساب على حاله ودون تغيير، بصرف النظر عن عدد المعاملات التي تم إجراؤه عن طريق أجهزة الصراف الآلي. ومن خلال الحالات التي تم رصدها حتى الآن، قام أفراد عصابة مجرمي الإنترنت بسرقة الأموال من خلال التجول بسياراتهم ليلاً في أنحاء المدن الروسية وتفريغ أجهزة الصراف الآلي العائدة لعدد من البنوك مرارا وتكرارا باستخدام بطاقات الخصم الصادرة عن نفس البنك المخترق. وفي غضون ليلة واحدة فقط تمكنوا من سحب الأموال.
وأوضح سيرجي غولوفانوف، الباحث الأمني الرئيسي في فريق التحليلات والأبحاث العالمي في كاسبرسكي لاب بالقول، "من الملاحظ أن المرحلة النشطة لهجمات الانترنت قد أصبحت في الوقت الحاضر أقصر مدة. وعندما أصبح المهاجمون أكثر مهارة في عملية معينة، فلا يستغرق الأمر معهم سوى أيام معدودة فقط أو أسبوع لسرقة وتشغيل ما يريدون."
خلال تحقيقات المختبر الجنائي، توصل خبراء كاسبرسكي لاب إلى عصابة Metele الإلكترونية تحقق إصابتها الأولية عن طريق رسائل بريد إلكتروني خبيثة مصممة خصيصاً لهذا الغرض وتكون مصحوبة بمرفقات خبيثة، وكذلك من خلال خلال رزمة برمجيات Niteris الخبيثة التي تستغل الثغرات الأمنية غير المكتشفة في متصفح الضحية. وبمجرد أن تتغلغل في الشبكة، يستخدم مجرمو الإنترنت أدوات نظامية وشرعية للتحرك أفقياً، وقرصنة مركز التحكم في الدومين (Domain) المحلي، وفي نهاية المطاف، تحديد والتمكن من التحكم بجميع أجهزة الكمبيوتر المستخدمة من قبل موظفي البنك المسؤولين عن إنجاز معاملات بطاقات الدفع.
ولاتزال عصابة Metel الإلكترونية نشطة والتحقيق في أنشطتها يجري على قدم وساق. ولم تسجل هناك هجمات لها إلى حد ما خارج روسيا. ومع ذلك، هناك ما يدعو للشك بأن العدوى منتشرة على نطاق واسع، وننصح البنوك حول العالم بالتحقق بشكل وقائي واستباقي من خلوها من الإصابة.
وتتحول جميع العصابات الثلاث التي تم اكتشافها نحو استخدام البرمجيات الخبيثة المصحوبة بالبرامج النظامية في عملياتها الاحتيالية: فلماذا يتحمل مجرمو الإنترنت عناء كتابة الكثير من الأدوات الخبيثة، في حين بمقدورهم استخدام البرمجيات النظامية لتحقيق غرضهم الخبيث ودون لفت المزيد من الأنظار والتحذيرات نحوهم؟
وفيما يتعلق بالتخفي والتواري عن الأنظار، فقد ذهبت عصابة GCMAN الإلكترونية إلى أبعد وأخطر من ذلك: حيث تمكنت في بعض الأحيان من شن هجوم ناجح على الشركة من دون استخدام أي برمجية خبيثة أو عن طريق تشغيل أدوات نظامية وأدوات ((Pentesting فقط. وقد رأينا، من خلال الحالات التي قام خبراء كاسبرسكي لاب بالتحقيق فيها، بأن عصابة GCMAN الإلكترونية قد لجأت لاستخدام وسائل مثل Putty و VNC و Meterpreter للتحرك أفقيا من خلال الشبكة إلى أن وصل المهاجمون إلى أي جهاز يمكن استخدامه لتحويل الأموال إلى خدمات العملة الإلكترونية من دون تنبيه النظم المصرفية الأخرى.
وقد لاحظت كاسبرسكي لاب، بعد رصد هجوم واحد فقط، أن مجرمي الإنترنت قد مكثوا في الشبكة لمدة سنة ونصف قبل تفعيل عملية السرقة. وكان يجري تحويل الأموال على شكل مبالغ تقارب 200 دولار أمريكي، وهو الحد الأقصى للمدفوعات المجهولة في روسيا. وفي كل دقيقة كان مبرمج CRON يطلق إصدار خبيثاً جديداً، وتبعاً لذلك يتم تحويل مبلغ آخر من المال إلى حسابات بالعملات الإلكترونية تعود إلى مجرمي تحويل الأموال. وقد تم إرسال أوامر المعاملة مباشرة إلى قنوات الدفع في البنك المعني ولم تظهر في أي من أنظمة البنك الداخلية.
وأخيراً، تعتبر عصابة Carbanak 2.0 الإلكترونية بمثابة نقطة تحول تشير إلى إعادة ظهور هجمات Carbanak المستمرة المتقدمة (APT)، والتي تستخدم الأدوات والتقنيات ذاتها ولكن مع ضحية مختلفة وتتبع نهجا مبتكراً للاستيلاء على النقد.
ولم تقتصر أهداف عصابة Carbanak 2.0 في العام 2015 على البنوك فقط، بل كانت إدارات الميزانية والمحاسبة في الشركات محط اهتمامهاً أيضاً. ومن الأمثلة عن الحالات التي رصدتها كاسبرسكي لاب أن عصابة Carbanak 2.0 الإلكترونية تمكنت من الوصول إلى إحدى المؤسسات المالية وشرعت في تغيير مستندات تفويض الملكية لواحدة من كبرى الشركات. وقد تم تعديل المعلومات لتحديده على أنه مساهم في الشركة، عن طريق معلومات الهوية الخاصة به.
وأضاف سيرجي غولوفانوف بقوله محذراً، "إن الهجمات على المؤسسات المالية المكتشفة في العام 2015 تشير إلى اتجاه عدائي مقلق لمجرمي الإنترنت الذين يتبعون نهج الهجمات المستمرة المتقدمة (APT). ولم تكن عصابة Carbanak الإلكترونية الأولى من ضمن أولئك الكثيرين: حيث أن مجرمي الإنترنت يتعلمون الآن وبوتيرة أسرع كيفية استخدام تقنيات جديدة في عملياتهم، ونلاحظ بأن الكثيرين منهم يتحولون من الهجوم على المستخدمين إلى مهاجمة البنوك مباشرة. إن منطق عمل المهاجمين بسيط للغاية، فهو يعتمد على مكان وجود الأموال." وأضاف بقوله، "نحن نسعى إلى عرض وتحديد كيفية ومكان قيام العصابة بشن الهجمات الخبيثة على أموالكم. وأتوقع أنه بعد أن سمعنا عن هجمات عصابة GCMAN الإلكترونية، ستحرصون على التحقق من توفر الحماية الأمنية لخوادمكم (سيرفر) المصرفية، في حين أننا، في حالة عصابة Carbanak الإلكترونية، ننصحكم بحماية قاعدة البيانات الخاصة بكم والتي تحتوي على معلومات عن أصحاب الحسابات، وليس فقط أرصدتهم."
تمكنت منتجات كاسبرسكي لاب من النجاح في الكشف عن ومنع البرمجيات الخبيثة المستخدمة من قبل عصابات Carbanak 2.0 و Metel و GCMANالإلكترونية. وتطلق الشركة كذلك مؤشرات مهمة حول الثغرات الأمنية وغيرها من البيانات لمساعدة الشركات في سعيها لتتبع هذه العصابات الإلكترونية في شبكات الشركات. لمزيد من المعلومات .
ننصح جميع الشركات بإجراء مسح دقيق لشبكاتها للتأكد من خلوها من عصابات Carbanak 2.0 و Metel و GCMAN الإلكترونية، وفي حال رصد أي منها، العمل على تنظيف أنظمتهم وإبلاغ هيئات إنفاذ القانون عن هذا الهجوم.