IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

DarkVishnya: Útoky na banky ve východní Evropě

DarkVishnya attacks

V letech 2017 a 2018 probíhalo vyšetřování řady hackerských útoků označených DarkVishnya, které byly zacílené na finanční organizace ve východní Evropě. Hackerům se podařilo do budov propašovat neznámá zařízení, po jejichž připojení do firemní sítě se jim podařilo nabourat korporátní systémy. Dosud bylo takto napadeno nejméně osm bank. Škody šplhají do desítek milionů dolarů.

Útočníci využili tři druhy zařízení: notebook, Raspberry Pi (jednodeskový počítač o velikosti kreditní karty) a Bash Bunny (speciálně navržený nástroj pro provedení a automatizaci útoků prostřednictvím USB). Ta byla navíc vybavena modemy GPRS, 3G nebo LTE, které útočníkům umožnily vzdáleně proniknout do firemní sítě finanční instituce.

Poté, co se kyberzločincům podařilo spojit se síťovými zařízeními, pokusili se získat přístup do webových serverů, aby odtud mohli ukrást data potřebná pro RDP (remote desktop protocol). Díky němu mohli na vybraném počítači získat data nebo finance. Teno způsob fileless útoku vyžadoval využití nástrojů pro vzdálené spuštění Impacket, winexesvc.exe nebo psexec.exe. V rámci poslední fáze útoku použili útočníci software pro vzdálenou správu, aby mohli s infikovaným počítačem udržovat spojení.

„V průběhu uplynulého roku a půl jsme sledovali zcela nový typ bankovních útoků, který svojí komplexností a složitostí velmi znesnadňoval své odhalení. Dlouhou dobu jsme nevěděli, jaký vstupní bod do korporátní sítě hackeři používají, protože se mohl nacházet v podstatě v jakékoliv kanceláři v regionu. Tato neznámá propašovaná zařízení nebylo možné najít vzdáleně. Útočníci je mohli kdykoliv skrýt a navíc používali i legitimní nástroje, které komplikují reakci na incidenty,“ říká Sergey Golovanov, bezpečnostní odborník ze společnosti Kaspersky Lab.