• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Carbanak - хакеры, укравшие 1 миллиард долларов.

ruk12321

Гардемарин
Местный
Регистрация
26.03.21
Сообщения
164
Онлайн
15д 21ч 27м
Сделки
0
Нарушения
6 / 7
Кто такие?
Carbanak - международная хакерская группировка, которую создали выходцы из России. Помимо россиян в группировку входят люди из Китая, Украины и ЕС.

Во главе стоят несколько человек - это эксперт по БД (базам данных), создатель вируса, разведчик банковских систем, фишер и чистильщик.

Как работают?
Снимок.PNG

Наглядная схема атаки, использующаяся хакерами из Carbanak

1. Рассылка и получение доступа
Сотруднику банка приходит электронное письмо с вложением, примерно следующего содержания (для русскоязычной и англоязычной публики соответственно):

Снимок1.PNG


Сотрудник банка открывает письмо, а потом и вложение (CPL-файл, упакованный RAR). В файле реализована эксплуатация нескольких уязвимостей (причём не 0-day, а старых: Microsoft Office (CVE-2012-0158 и CVE-2013-3906), а так же Microsoft Word (CVE-2014-1761)). Заливается, собственно, сам бэкдор Carbanak.

В общем, довольно таки классическая атака закачки остального вредоноса.
Далее, вирус распространяется по сети, в поисках компьютеров тех, кто владеет инструментами и привилегиями на модификацию информации, имеющей отношение к банк-клиентам (чаще всего некие администраторы/менеджеры).

Позднее, происходит изучение системы работы этой организации (несколько месяцев), далее оттуда крадутся деньги.

2. Кража денег
Ребята при краже денег используют очень интересную схему:

  • Предположим, имеется счёт с $1,000. Используя банк-клиент они завышают сумму на счете до $10,000.
  • Лишние $9,000 переводятся на другой счёт или налятся через банкоматы (посылается удаленная команда на выдачу наличных, когда неподалёку находится дроп).
  • На счету остается та же самая тысяча долларов и вроде бы всё на месте. Тревогу бить вроде бы не с чего. В банках замечают такую атаку далеко не сразу, а только тогда, когда цифры начинают откровенно не сходиться.
Практически гениально, не правда ли?
Таким образом ребята снимали по 12 миллионов долларов в день!

По завершению всей операции подключался чистильщик и удалял все следы присутствия в системе банка.

3. Каким софтом пользуются?
  • Группировка использует собственную малварь, которая называется точно так же - Сarbanak
Carbanak копирует своё тело в “%system32%\com” под именем “svchost.exe“, оригинальный файл вируса при этом удаляется.

Так же создается служба для обеспечения автозагрузки на зараженной машине. В качестве имени службы выбирается произвольный сервис, который имеется в системе, в конце приписывается “Sys”.

Перед созданием службы, Carbanak проверяет процессы на предмет наличия там avp.exe или avpui.exe (компоненты антивирусных программ Касперского). Если такие процессы находятся, Carbanak пытается проэксплуатировать уязвимость CVE-2013-3660 для повышения привилегий. Уязвимость существует в ОС Windows XP, Server 2003, 7, 8, Server 2012.

Помимо этого создается файл со случайным именем и расширением .bin в каталоге %COMMON_APPDATA%\Mozilla.

Вредонос получает настройки прокси-сервера из реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

а так же из конфигурационного файла %AppData%\Mozilla\Firefox\<профиль>\prefs.js

Carbanak внедряет свой код в системный процесс svchost.exe.

Так же скачивает файл kldconfig.plug со своего командного сервера. Файл содержит имена процессов для мониторинга. Подразумевается, что ищутся процессы банк-клиентов.

Помимо этого Carbanak логирует все нажатия клавиш, а так же делает скриншоты каждые 20 секунд.

Устанавливается возможность подключения удаленного рабочего стола (RDP), для этого служба “Termservice” устанавливается в автоматический режим запуска. Кроме того, изменяются некоторые модули сервиса удаленных подключений (termsrv.dll, csrsrv.dll, msgina.dll и winlogon.exe) для того, чтобы активного пользователя не “вышибало” при коннекте по RDP.

Если на компьютере обнаруживается банк-клиент, на командный сервер посылается уведомление.

Обмен сообщениями с командным сервером происходит по HTTP-протоколу с использованием RC2+Base64 шифрования. В трафик периодически внедряются незашифрованные строки с различными расширениями и случайными данными для отвлечения внимания, например запросы на реально существующие веб-сайты.

Carbanak поддерживает неплохой перечень команд. Вот лишь некоторые из них: исполнение произвольных команд, захват экрана, загрузка дополнительных файлов, загрузка утилиты удаленного администрирования “ammyy admin“, убийство ОС (перезапись бут-сектора, внесение некорректных записей в реестр), перезагрузка ОС, организация туннеля, организация сеанса связи RDP, удаление произвольных служб и файлов, организация VNC-сессии.
Внушительный список, не так ли?
Некоторые модули Carbanak имеют цифровую подпись для усыпления бдительности сторожевых программ.

Вместо выводов
26 марта 2018 года Европол объявил об аресте одного из участников группировки Carbanak. Хакер спалился по собственной глупости и был задержан в Испании. В его поимке помимо Европола участвовали ФБР, полиция Румынии, Беларуси и Тайваня.

Задержанным оказался гражданин Украины Денис К. При обыске у него изъяли компьютеры, ювелирные изделия на сумму свыше 500 тысяч евро, документы и два дорогих автомобиля. Кроме того, были арестованы счета задержанного и два дома стоимостью один миллион евро.

Банкиры было вздохнули, решив, что теперь все их беды закончились. Однако группировка не остановилась и продолжает обносить банковский сектор.

Новыми жертвами хакеров вновь стали банки и процессинговые компании в разных странах мира. Атаки происходят с использованием уязвимостей CVE-2017-11882 и CVE-2017-8570.
 

MaximThomsan

Незнакомец
Прохожий
Регистрация
03.02.21
Сообщения
2
Онлайн
22ч 22м
Сделки
0
Нарушения
0 / 2
Блин, это не бтк кошелек взламывать)
 

Дублон

Мичман
Знаток
Регистрация
20.02.21
Сообщения
547
Онлайн
23д 5ч 49м
Сделки
0
Нарушения
0 / 4
одминов банков на кол, эникейщиков со всем хэлпдэском на бутылку, юзеров - на thinstation-ы - нехуй майнкрафты с прочими казуалками на робочих местах гонять

ладно МС боков напорола (в первой что-ли), так они ж и раскраились сразу же, а локальный WSUS со всеми секурити патчес и групповые политики, если они таки на дэсктопах операционистов полные офиси ставят и права дают, прикрутить не удосужились
 
Сверху