С помощью дешевых ноутбуков, компьютеров RaspberryPi и устройств BashBunny, киберзлоумышленники украли несколько десятков миллионов долларов из банков в Восточной Европе.

Запрятанный подкидыш

«Лаборатория Касперского» отметила новую разновидность атак на банковские организации, распространившиеся изначально в Восточной Европе. Примерный ущерб от произошедших инцидентов составил несколько десятков миллионов долларов.

В 2017-2018 гг. эксперты «Касперского» участвовали в расследовании нескольких цифровых ограблений банков, где преступники применяли весьма нестандартную схему: перед началом атаки в инфраструктуру банка внедрялось (или, как выразились расследователи, «подбрасывалось») аппаратное устройство, которое физически подсоединялось к корпоративной сети и пряталось. Найти его удаленно оказывалось почти невозможно.

Злоумышленники использовали как минимум три вида гаджетов: ноутбук (как правило, недорогой нетбук), RaspberryPi (одноплатный компьютер) и BashBunny (специально разработанный инструмент для автоматизации и проведения USB-атак). Эти устройства могли быть также дополнительно оснащены GPRS-, 3G- или LTE-модемом, чтобы обеспечивать удаленное проникновение в корпоративную сеть организации.

В ходе атак киберпреступники пытались получить доступ к общим сетевым папкам, веб-серверам и рабочим станциям, а украденные данные использовались для подключения к оборудованию, предназначенному для осуществления платежей или содержащим другую полезную для злоумышленников информацию.

На сегодняшний день известно по крайней мере о восьми банках в Восточной Европе, которые были ограблены таким образом. Эксперты «Касперского» дали этим атакам общее название DarkVishnya.

Физический троянский конь

После успешного закрепления в инфраструктуре финансового учреждения злоумышленники использовали для удаленного управления легитимное ПО, что дополнительно осложняло обнаружение источника проблем. Благодаря применению бесфайловых методов и PowerShell, им удавалось обходить белые списки и доменные политики безопасности. Другие инструменты, используемые злоумышленниками, – это Impacket, а также winexesvc.exe или psexec.exe для дистанционного запуска исполняемых файлов.

Денежные средства выводились затем через банкоматы, вероятно, не без традиционного уже участия «денежных мулов».

«То, что у преступников была возможность и подключить постороннее устройство в корпоративной сети, и спрятать его, говорит либо о недостатках физической безопасности банков, либо о причастности к ограблениям инсайдеров, — полагаетОлег Галушкин, директор по информационной безопасности компании SECConsultServices. — То, что корпоративная сеть “принимала” посторонние нетбуки или Raspberry, заставляет предположить, что системы контроля устройств в этих банках нуждались в улучшении, а открытый и внутренний сегменты корпоративной сети недостаточно надежно изолированы друг от друга. В целом с таким физическим “троянским конем” в инфраструктуре банка злоумышленники могли бы делать вообще все, что им угодно».