Faktura, o której mowa, w rzeczywistości była koniem trojańskim typu RAT (Remote Access Trojan), skonfigurowanym do komunikowania się z serwerem zlokalizowanym na Ukrainie, pełniącym funkcje sterujące i kontrolne. Za pomocą tego konia trojańskiego haker natychmiast przejął kontrolę nad zainfekowanym komputerem asystentki. Mógł rejestrować sekwencje naciśniętych klawiszy, oglądać zawartość pulpitu oraz przeglądać i kraść pliki.
Taktyka (bardzo rzadko dotąd spotykana) polegająca na wysłaniu maila, po którym następuje rozmowa telefoniczna, jest agresywnym atakiem posługującym się metodami inżynierii społecznej. W maju 2013 r. blog Symantec Security Response opublikował szczegóły pierwszych ataków tego typu wycelowanych w europejskie przedsiębiorstwa. Dalsze badania ujawniły dodatkowe informacje na temat trwających do dziś ataków, za którymi stoi chęć kradzieży pieniędzy.
Agresywna taktyka
Wiele przedsiębiorstw stosuje zabezpieczenia przed nieupoważnionym transferem pieniędzy. Jednak atakujący potrafili zastosować agresywne taktyki posługujące się metodami inżynierii społecznej, pozwalające przełamać każde z tych zabezpieczeń. Jeden z ataków wyglądał następująco:
- Atakujący najpierw zainfekował systemy przedsiębiorstwa koniem trojańskim typu RAT.
- Następnie wydobył informacje identyfikacyjne banku i operatora telekomunikacyjnego, z usług których korzysta przedsiębiorstwo, oraz osób wyznaczonych przez przedsiębiorstwo do kontaktu z nimi, a także dane dotyczące kont bankowych i telekomunikacyjnych, włącznie z informacjami zawartymi w planach odtwarzania po awarii.
- Korzystając z tych danych, atakujący telefonował do operatora telekomunikacyjnego, podszywając się pod przedstawiciela przedsiębiorstwa, uwierzytelnił się wobec operatora i oświadczył, że doszło do zdarzenia (np. zalania budynku), w wyniku którego niezbędne jest przekierowanie numerów telefonicznych przedsiębiorstwa na nowe numery, będące w rzeczywistości pod kontrolą atakującego.
- Po przekierowaniu numerów atakujący wysłał faks do banku zlecający kilka przelewów dużych sum na różne konta zagraniczne.
- Z uwagi na to, że transakcja taka była nietypowa, przedstawiciel banku dzwonił pod numer przedsiębiorstwa zapisany w systemie banku, aby potwierdzić transakcję. Połączenie było przekierowane do atakującego, który zatwierdził transakcję.
- Pieniądze zostały faktycznie przelane na różne konta zagraniczne, a następnie „wyprane” przy użyciu innych kont i instrumentów pieniężnych.
W innym przypadku atakujący wykorzystał niestandardowy, opracowany przez przedsiębiorstwo we własnym zakresie system przelewów, stosujący uwierzytelnienie dwuskładnikowe z tokenem sprzętowym. Podczas tej operacji:
- Atakujący dzwonił do ofiary podszywając się pod pracownika działu informatycznego i informował, że wymagane jest przeprowadzenie czynności serwisowych w systemie przelewów.
- Przekonywał także ofiarę, że z uwagi na konieczność zachowania tajemnicy klientów, podczas wykonywania tej pracy monitor powinien być wyłączony.
- W czasie, gdy monitor był wyłączony, atakujący posługiwał się aktywnym w tym momencie dostępem ofiary do systemu i przelewał duże kwoty na zagraniczne konta.
- W jeszcze innym przypadku atakujący nawet nie użył żadnego szkodliwego oprogramowania. Atak przebiegał następująco:
- Atakujący, podszywając się pod pracownika banku, wysłał do prawdziwego pracownika banku mail, informujący o aktualizacji systemów komputerowych banku.
- Następnego dnia atakujący telefonował do odbiorcy maila, podając się za pracownika tego samego banku i poprosił o wykonanie „testowego” przelewu.
- W wyniku tego „testowego” przelewu pieniądze zostały faktycznie przelane na konto zagraniczne.
Ofiary
Z dochodzeń przeprowadzonych w związku z tymi atakami wynika, że zostało nimi dotkniętych szereg francuskich przedsiębiorstw. Celem atakujących było doprowadzenie do tego, by dział księgowości (lub podobny) przelał pieniądze na konto zagraniczne.
W większości przypadków pierwszą ofiarą był pracownik administracyjny lub księgowy przedsiębiorstwa. W sytuacji, gdy pierwsza ofiara nie miała uprawnień do przelania pieniędzy, atakujący posługiwał się tożsamością ofiary, aby zidentyfikować osobę w dziale księgowości posiadającą takie uprawnienia. Następnie atakujący, posługując się dalszymi metodami inżynierii społecznej, doprowadzał do zainfekowania komputera takiej osoby.
Atak w ruchu
Analiza maili i ruchu związanego ze sterowaniem i kontrolą pozwoliła ustalić, że atakujący znajduje się w Izraelu lub przekierowuje swe ataki za pośrednictwem tego państwa. Jednak adresy IP nadawcy w Izraelu są nietypowe, gdyż należą do bloku zarezerwowanego dla mobilnych klientów izraelskiego przedsiębiorstwa telekomunikacyjnego. Co więcej, analiza ruchu pozwoliła ustalić, że ataki w istocie wychodziły z sieci mobilnej i – co istotne – atakujący używa mobilnych hotspotów Wi-Fi.
Mobilny hotspot Wi-Fi może działać jak odpowiednik telefonu GSM; po podłączeniu do systemu komputerowego zapewnia dostęp do internetu za pośrednictwem sieci telefonii komórkowej. Jeśli karta SIM do przenośnego routera zostanie zakupiona za gotówkę na bazarze lub od osoby prywatnej, posiadający ją haker może zapewnić sobie anonimowość. Wielu dostawców usług 3G na świecie dopuszcza zakup karty prepaid umożliwiającej transmisję danych bez weryfikowania tożsamości nabywcy, co oznacza, że nie można wyśledzić posiadacza na podstawie informacji posiadanych przez operatora.
Jeszcze bardziej zaskakujący jest fakt, że – jak wynika z analizy ruchu – atakujący w trakcie przeprowadzania ataków poruszał się. Zastosowane przez atakującego techniki operacyjne sprawiają, że jest on bardzo trudny do wyśledzenia. Użycie takich technik do cyberprzestępczości świadczy o tym, że hakerzy posługują się coraz bardziej wyrafinowanymi metodami. Odnalezienie poruszającego się hotspotu Wi-Fi wymaga użycia dyżurującego stale personelu rozmieszczonego w terenie i wyposażonego w specjalny sprzęt, a także pomocy ze strony operatora telekomunikacyjnego przy namierzaniu lokalizacji karty. Opisane ataki są dobrym przykładem na rosnący stopień zaawansowania cyberprzestępczości, co jest tendencją, która najprawdopodobniej będzie się utrzymywać w przyszłości.
Symantec chciałby podziękować CERT-UA (Computer Emergency Response Team of Ukraine — ukraiński zespół ds. nagłych przypadków komputerowych) za pomoc w przeprowadzeniu badań.