Carbanak: de internetroof van de eeuw

Verliezen die kunnen oplopen tot 1 miljard dollar, meer dan 100 banken en 30 landen betrokken - de Russische gigant in cyberbeveiliging Kaspersky heeft een cyberaanval aan het licht gebracht die sinds 2013 uitgevoerd wordt door een groep die de naam `Cabarnak` meekreeg.

post-image-3

Banken zijn altijd al een geliefd doelwit geweest van cybercriminelen. Maar tot nu waren de slachtoffers altijd de klanten van deze banken. Deze keer echter zijn de aanvallen rechtstreeks gericht tegen financiële instellingen bij een nog nooit eerder geziene, doelgerichte en zeer professioneel, gecoördineerd uitgevoerde aanval. Zij gebruiken alle middelen van hun doelwit om zoveel mogelijk geld te pakken te krijgen, tot aan een zeker plafond dat de aanvallers zichzelf opgelegd lijken te hebben.

Het verhaal van Carbanak gaat van start wanneer een bank in Oekraïne de hulp inroept van Kaspersky om een onderzoek uit te voeren. Op mysterieuze wijze was er geld gestolen via de geldautomaten (ATM). Kaspersky  dacht eerst aan de Tyupkin malware. Maar een analyse van de harde schijf van de ATM bracht niets abnormaals aan het licht, tenzij een tamelijk rare configuratie van de VPN (de waarde van het netwerkmasker was 172.0.0.0).

Op dat moment beschouwde de Russische specialist in cyberbeveiliging het incident als een simpele aanval met malware. Geen haar op zijn hoofd dacht eraan dat een van zijn collega`s enkele maanden later om 3u `s nachts een telefoontje zou krijgen. Dat was afkomstig van een account executive die vroeg om dringend het telefoonnummer te bellen dat hij hen doorgaf. De directeur beveiliging van een Russische bank nam op. Een van de systemen van het bank signaleerde het verzenden van data vanuit hun domeincontroller naar de Volksrepubliek China.

Experts van Kaspersky zijn dan ter plaatse gegaan en konden al snel de malware op het systeem lokaliseren.  Zij hebben een "batch commando script" geschreven dat de malware op de besmette computer elimineerde en zij hebben dit script uitgevoerd op alle computers van de bank. Deze operatie werd telkens herhaald tot zij ervan overtuigd waren dat er geen enkele computer nog besmet was.  Zij hadden uiteraard wel "stalen genomen" en het is daar dat zij voor het eerst Carbanak ontdekt hebben.

Modus operandi
Een grondiger onderzoek bracht aan het licht dat de oorspronkelijke besmetting plaats gevonden had via een phishing mail met een bijlage. Er waren ook gevallen waarbij Word-documenten gebruikt werden die bekende zwakke plekken exploiteerden. De uitvoering van shellcode werd gevolgd door het installeren van een backdoor geïnspireerd op Carberp. Deze backdoor is de malware die vandaag gekend staat onder de naam Carbanak.  De functies daarvan draaien rond spionage, data mining en remote control.

Zodra de aanvallers in het netwerk van het slachtoffer binnengedrongen zijn, voeren zij een manuele verkenningstocht uit en trachten zij relevante computers te compromitteren, zoals die van de beheerders, gebruik makend van tools om zich zijdelings te verplaatsen. Kortom, eens in het netwerk binnengedrongen nemen zij hun tijd om te vinden wat hen interesseert. Dat belangstellingspunt varieert naargelang de aanval. Er is altijd wel een raakpunt: in alle gevallen zorgt dit interessepunt ervoor dat geld van de besmette instelling afgehaald kan worden.

De bende achter Carabank weet niet noodzakelijkerwijze voor de aanval hoe elk doelwit functioneert,  vermits interne operaties bij elke organisatie variëren. Daarom hebben deze inbrekers video`s opgenomen via de besmette computers om de werking van een bepaalde bank te begrijpen. Deze video`s werden vervolgens overgezet naar de commandoservers. Alhoewel de kwaliteit van de video`s niet bijster goed was, konden de aanvallers, die ook in het bezit waren van gegevens ingevoerd op het klavier van een bepaalde computer, begrijpen wat het slachtoffer deed. Zo kwamen zij in het bezit van de informatie die zij nodig hadden om het geld te kunnen bemachtigen.

Vanop afstand bestuurde biljettenverdelers
De ATM`s kregen vanop afstand instructies om geld te verdelen, zonder enige interactie met de ATM zelf, en het cash geld werd dan door "muilezels"  ontvangen. Cyberboeven hebben ook het SWIFT-netwerk gebruikt om geld vanuit de bank naar hun rekening over te zetten en de databases met daarin de informatie van de rekeningen werden gewijzigd om zo valse rekeningen met saldi aan te maken.

Boekhoudkundige balans
Kaspersky heeft samengewerkt met de autoriteiten van verschillende betrokken landen. Uit deze gezamenlijke onderzoeken blijft dat meer dan 100 financiële instellingen getroffen zijn. In minstens de helft van de gevallen zijn de boeven erin geslaagd om geld af te halen bij de besmette instellingen. De individuele verliezen die de banken noteerden liggen tussen de 2,5 en 10 miljoen Amerikaanse dollar. Volgens informatie van politie en gerecht echter en van de slachtoffers zelf zou het financieel verlies wel eens het miljard dollar kunnen bereiken, wat dit tot de belangrijkste "cybercriminele campagne" zou maken ooit ontdekt.

De meeste slachtoffers bevinden zich in Oost-Eruopa. De gegevens van KSN en de gegevens die Kaspersky bemachtigd heeft op de commandoservers duiden er echter op dat Carbanak zijn pijlen ook richt op instellingen in de Verenigde Staten, Duitsland en China. De groep breidt momenteel zijn activiteiten uit naar nieuwe gebieden, waaronder Maleisië, Nepal, Koeweit en verschillende gebieden in Afrika. Volgens de laatste bevindingen van Kaspersky is de groep nog altijd actief.


Back to top button
Close
Close