Kaspersky Lab è stata contattata da un’azienda russa per indagare su un incidente che ha quasi causato la perdita di circa 130.000 dollari dal conto dell’azienda. Il sospetto è stato confermato nei primi giorni di indagine. I cybercriminali avevano infettato i computer dell’azienda inviando una email che affermava di provenire dal fisco con un allegato nocivo. Per ottenere il controllo da remoto dei computer dei contabili all’interno della rete aziendale gli utenti hanno utilizzato una versione modificata di un programma autentico.
Un programma malware è stato utilizzato per sottrarre denaro. Includeva elementi del banking Trojan Carberp il cui codice sorgente è pubblico. I cybercriminali hanno commesso un errore nella configurazione dei loro server C&C, permettendo agli specialisti di Kaspersky Lab di scoprire gli indirizzi IP di altri computer infetti e avvertire i proprietari della minaccia. La notizia arriva a pochi giorni da un attacco ai danni degli utenti di Gmail. La banca dell’azienda presa di mira dai cybercriminali ha bloccato il tentativo di effettuare una transazione da 130.000 dollari.
Tuttavia, i cybercriminali sono riusciti a fare un pagamento di 8.000 dollari in quanto tale importo era troppo piccolo per destare l’attenzione della banca e non ha richiesto ulteriori conferme dall’account del cliente dell’azienda. Gli esperti del Kaspersky Lab’s Global Emergency Response Team (GERT) hanno ricevuto dall’organizzazione attaccata l’immagine dell’hard disk del computer aggredito. L’hanno studiato e hanno trovato un messaggio email sospetto inviato a nome del fisco, che richiedeva l’invio immediato di alcuni documenti.
L’elenco dei documenti richiesti era fornito all’interno di un documento Word allegato. Tale documento era stato infettato con un exploit alla vulnerabilità CVE-2012-0158, che veniva attivato con l’apertura del documento e scaricava un altro programma nocivo sul computer della vittima. Gli specialisti del GERT hanno trovato sull’hard disk del computer infetto una versione modificata di un programma autentico che permetteva l’accesso remoto ai computer. Questi programmi sono comunemente usati da contabili e dagli amministratori di sistema.
Tuttavia, la versione del programma sul computer vittima dell’attacco informatico era stata modificata per nascondere la propria presenza all’interno del sistema infetto: la sua icona sulla Taskbar di Windows era stata nascosta, la chiave di registro dove erano conservate le configurazioni era stata modificata e il display GUI era stato disabilitato. I prodotti Kaspersky Lab bloccano questo programma identificandolo come “Backdoor.Win32.RMS”. Tuttavia, questo non è stato l’unico programma maligno rilevato sul computer colpito.
Ulteriori indagini hanno mostrato che un altro backdoor (Backdoor.Win32.Agent) era stato scaricato sul computer vittima con l’aiuto di Backdoor.Win32.RMS. I cybercriminali hanno utilizzato quest’ultimo per ottenere l’accesso remoto Virtual Network Computing (VNC) al computer attaccato. Stranamente, gli elementi del banking Trojan Carberp sono stati rilevati nel codice Backdoor.Win32.Agent. Il codice sorgente di Carberp era stato precedentemente reso pubblico. Le versioni più recenti del Carberp Trojan includono anche un bootkit, un insieme di funzioni che infettano i PC al livello più basso.
Con l’aiuto di Backdoor.Win32.RMS, i cybercriminali avevano scaricato sul computer colpito il Trojan Backdoor.Win32.Agent, grazie al quale erano in grado di stabilire il controllo del computer. Così, i cybercriminali hanno effettuato un ordine illegittimo di pagamento nel sistema bancario remoto e l’hanno verificato tramite l’indirizzo IP del computer del contabile, che la banca considerava affidabile. Ma come hanno fatto i criminali a entrare in possesso delle password utilizzate dal contabile per compiere transazioni?
Gli esperti hanno proseguito l’indagine e hanno trovato un ulteriore programma nocivo, Trojan-Spy.Win32.Delf, il keylogger che ha intercettato i dati inseriti tramite la tastiera. In questo modo, i cybercriminali hanno rubato le password del contabile e sono stati in grado di eseguire la transazione illegittima. Nel momento in cui l’indagine stava giungendo a termine, gli esperti hanno scoperto un altro fatto interessante: tutti i programmi nocivi coinvolti nell’attacco erano gestiti da server C&C i cui indirizzi IP appartenevano allo stesso sub-network.
Utilizzando questo sub-network, i criminali hanno commesso un errore che ha permesso agli esperti di Kaspersky Lab di trovare gli indirizzi IP di altri computer infettati da Trojan-Spy.Win32.Delf. In molti casi, si sono rivelati computer in possesso di PMI. Kaspersky Lab ha prontamente contattato i proprietari dei computer infetti e li ha avvisati della minaccia esistente. La versione originale di Carberp era solo un tipico Trojan progettato per rubare dati sensibili degli utenti, come ad esempio le credenziali di online banking o di nomi utente e password per altri siti di alto valore.
“Sebbene questa vicenda sia avvenuta in Russia, da un punto di vista tecnico è difficilmente circoscrivibile a un singolo paese; infatti, questo tipo di crimini informatici varia molto poco da paese a paese. In tutto il mondo la maggior parte delle aziende utilizza versioni di Windows e Microsoft Office che possono contenere vulnerabilità unpatched. Inoltre, ci sono sottili differenze nei modi in cui i reparti finanziari delle aziende di diversi paesi interagiscono con le banche tramite servizi bancari. Ciò rende più semplice per i cybercriminali rubare denaro tramite sistemi bancari con accesso remoto”, ha commentato Mikhail Prokhorenko, malware analyst at Kaspersky Lab’s Global Emergency Response Team.
“Sebbene questa vicenda sia avvenuta in Russia, da un punto di vista tecnico è difficilmente circoscrivibile a un singolo paese; infatti, questo tipo di crimini informatici varia molto poco da paese a paese. In tutto il mondo la maggior parte delle aziende utilizza versioni di Windows e Microsoft Office che possono contenere vulnerabilità unpatched. Inoltre, ci sono sottili differenze nei modi in cui i reparti finanziari delle aziende di diversi paesi interagiscono con le banche tramite servizi bancari. Ciò rende più semplice per i cybercriminali rubare denaro tramite sistemi bancari con accesso remoto”, ha commentato Mikhail Prokhorenko, malware analyst at Kaspersky Lab’s Global Emergency Response Team.
“Per ridurre il rischio di furto di denaro dagli account aziendali”, afferma Morten Lehn, Managing Director di Kaspersky Lab Italia, “le aziende che utilizzano sistemi bancari remoti dovrebbero impostare autenticazioni multifattoriali affidabili, come token e one-time password fornite dalla banca, assicurarsi che i software installati sui computer aziendali siano sempre aggiornati, proteggere i computer con una soluzione completa per la sicurezza e insegnare allo staff come riconoscere i segni di attacchi informatici e rispondere in modo appropriato”. È possibile trovare maggiori informazioni su come Kaspersky Lab ha indagato su questo incidente nell’articolo di Mikhail Prokhorenko su Securelist.com.
Nessun commento:
Posta un commento