Aktuelni hakerski napadi pomoću zlonamernih softvera u finansijskom sektoru

Aktuelni hakerski napadi
pomoću zlonamernih softvera
u finansijskom sektoru
Luka Milinković
lukaui@yahoo.com
rs.linkedin.com/in/lukamilinkovic
ICT Security 2015
Hotel Aquastar Danube, Kladovo,14-16.5.2014.

Hakerski napadi
• Finansijski sektor
• ATM i POS terminali
• Slanje zaraženih mail-ova
• Platne kartice, PIN-ovi, lozinke, nalozi…
• Zlonamerni softveri na mobilnim uređajima
• Zaražene i zlonamerne aplikacije
2Hotel Aquastar Danube, KladovoICT Security 2015

Hakerski napadi
• Man-in-the-middle, man-in-the-browser (Dyre)
• Izmena računa na koji treba da se izvrši redovna uplata
• Prodaja i dopuna postojećih napada
• Eksterni napadi
• Interni napadi, insajderi
• Napadi kod dobavljača

Equation group
• Aktivna je još od 2001. (a možda i od 1996 –
Windows 95/98/ME)
• Kompleksne vrste napada
• Koriste kriptografske algoritme i sofisticirane
metode napada
• Modifikovana verzija RC5 algoritma, zatim RC4,
RC6, AES, SHA-256…

Equation group
• EquationLaser je kompatibilan sa Windows 95/98
• Širi se prvenstveno preko CD-ova
• Pretpostavlja se da se koristio za početno inficiranje računara
• GROK keylogger – napredna verzija keylogger-a,
koji krade lozinke, ali i analizira druge podatke
koji se unose
• Najmanje 4 zlonamerna softvera su koristila ne
poznate propuste/ranjivosti

DubleFantasy
• Trojanac
• Napada preko interneta
• Zaraženi CD-ovi sa materijalima sa naučnog skupa u Hjustonu
• Aktuelna verzija je 13 (samo 4 verzije ispitane)
• TripleFantasy je nadogradnja?
• Prvi stepen da bi se zarazio neki računar
• Analizira da li je žrtva zanimljiva
• Koristi backdoor za napad na interesantne računare
• Ako je meta zanimljiva nadograđuje se na
EquationDrug ili GrayFish

EquationDrug i Gray Fish
• EquationDrug je dizajniran za Windows 95/98/ME
• SHA-256 (GrayFish)
• Reprogramiranje firmware-a hard diska da bi se
obezbedio opstanak zlonamernog softvera
• Maxtor, IBM, Western Digital, Seagate, Hitachi,
Toshiba…

EquationDrug i Gray Fish
• Zlonamerni softveri se mogu naći na posebnim
sektorima diska, koji su zaštićeni od brisanja i
formatiranja
• Ovde se smeštaju i ukradeni podaci
• Ovi zlonamerni softveri se nekada koriste za
razbijanje enkripcije
• Ne postoji jednostavan način da se proveri da li je
hard disk zaražen ovim zlonamernim kodom
• Može upis i izmena firmware-a, ali ne i čitanje

Funny
• Samoreplicirajući crv, koji se širi preko USB flash
memorije
• Prenos podataka sa računara u izolovanoj mreži
na računar koji je na internetu
• Više od 300 domena i 100 servera u različitim zemljama gde se
šalju ukradeni podaci
• Zaražena USB flash memorija ima poseban
zaštićeni deo memorije za prikupljanje osnovnih
informacija o računaru van mreže

Funny
• Pojavio se 2008, a otkriven je u decembru iste
godine
• Bezbednosni propust Microsoft-a
• Pojavio se nešto pre Stuxnet-a sa kojim postoji
velika sličnost
• Razvijani su zajedno ili su dve hakerske grupe
sarađivale

Equation group
• Sličnost sa Regin-om zbog multi-maliciozne
softverske platforme
• Kompleksnost strukture
• Razvoj je trajao više meseci, a možda i godina
• Stručan i obučen hakerski tim
• Ko stoji iza?

Carbanak
• Internacionalna hakerska grupa
• Kinezi, Rusi, Ukrajinci i državljani drugih evropskih država
• Napadi traju od 2013. do danas
• Ukradeno skoro milijardu dolara u finansijskim
institucijama širom sveta
• Oko 100 bankarskih institucija u skoro 30 zemalja sveta
• Napadi su trajali od 2 do 4 meseca u istoj banci

Postupak napada
• I korak – Spear phishing (attachment ili link)
• .doc i .cpl (Control Panel Applet) fajlovi
• Korišćeni su propusti u Microsoft Office 2003, 2007 i 2010
• II korak – zarazi se jedan ili više računara u banci
• III korak – traže se administratorski računari koji
upravljaju video nadzorom ili računari na kojima
je prikaz kamera koje nadgledaju rad na šalteru
• IV korak – podizanje novca

Podizanje novca
• eBnaking ili međunarodni sistem plaćanja
(SWIFT) za prenos na račune u drugim bankama
• 10 miliona dolara
• Transfer novca na bankovne račune u SAD, Kinu…
• Podizanje novca na bankomatu
• 7,3 miliona dolara
• Klijenti nisu oštećeni
• Preko zlonamernog softvera napadači podignu vrednost računa
nekog klijenta za, npr. 5.000 dolara, koje odmah i ukradu

Tehnika napada
• Zlonamerni softver – svchost.exe
• System, hidden, read-only
• Original se briše
• Napadači nisu hakovali core sistem
ili aplikacije za transfer novca
• Najviše vremena su koristili za učenje kako da
obavljaju transakcije, a da se to brzo ne primeti

PoSeidon
• Cisco je sprečio dalje širenje keylogger-a
• Podaci se šalju serverima hostovanim u Rusiji
• Napadači kradu informacije sa magnetne piste i
PIN kodove
• Koriste se za pravljenje bele plastike i transakcije
na ATM i PoS terminalima

PoSeidon
• Loader – pokušava da se održi na ciljanom
računaru i posle resetovanja sistema
• Verzija 11.4
• Kontaktira kontrolni server da bi preuzeo i instalirao keylogger
• FindStr – instalira se keylogger, skenira se
memorija PoS-a i čekaju se nove transakcije
• Verzija 7.1
• Prikupljene podatke šalje napadačima preko interneta
• 62% funkcionalnosti Loader i FindStr je ista

Kako kriminalci funkcionišu?
• Nextep, Bevo pos
• Zaustavili napad u roku od 36, odnosno 24 časa
• Common point of purchase (CPP) – zajednička
tačka kupovine
• Banke često kupuju nekoliko ukradenih kartica kada se pojavi nova
serija da vide da li je sve od jednog ili više trgovaca
• Kriminalci prodaju kartice iz različitih krađa (od različitih žrtva) u
svakoj novoj seriji da bi zbunili istražitelje
• End-to-end enkripcija

The Dyre Wolf
• Posebna tehnika phishing napada
• Ukradeno preko milion dolara od ciljano
napadnutih kompanija
• Prvo saznaju koje kompanije imaju transakcije sa
većim sumama novca i onda njih napadaju
• Napad se oslanja na ljudsku grešku
• Po IBM-ovoj proceni 95% svih napada se zasniva na ljudskom
faktoru

The Dyre Wolf
• Zaposlenima se šalje spam e-mail, koji sadrži
zlonamerni softver
• Ne gađa pojedinca, već kompaniju što ga razlikuje od većine
bankarskih trojanaca
• Zlonamerni softver download-uje Dyre
• Inficira računar kompanije i čeka da zaposleni poseti sajt banke
• Kada zaposleni pokuša da se uloguje na sajt
banke prikaže se lažna poruka o problemu i uvek
isti broj telefona za pomoć

The Dyre Wolf
• Pozivajući broj zaposleni direktno komunicira sa
napadačem
• Napadač uvek zna o kojoj banci se radi i pokušava da sazna
informacije o računu
• Korisničko ime, lozinku, broj računa
• Novac se prebacuje na offshore račune u drugim
bankama
• Istovremeno izvode i DDoS napad kako bi
zamaskirali akciju tokom koje inficiraju računare

The Dyre Wolf
• Jedinstven napad – razgovor kriminalaca sa
osobama, koje su napadnute
• Vuk u jagnjećoj koži!
• Većina antivirusnih softvera
nije uspela da ga detektuje
• Rešenje – edukacija zaposlenih i test reakcije
zaposlenih na mail-ovi sa phishing napadom

Kako se zaštititi?
• Ransomware u Hrvatskoj, BiH, Srbiji…
• Važno je da postoji back up
• Nakon ovakvog uspešnog napada kompanija može da se ugasi
• Potencijalna pretnja
• Krađa informacija o klijentima
• Onemogućavanje servisa na primarnoj lokaciji da bi se prešlo na
sekundarnu, a zatim kriptovanje ili uklanjanje podataka i na
primarnoj i na sekundarnoj lokaciji
• Najmanje 50% IT budžeta će se koristiti za zaštitu
korporativne mreže i podataka

Kako se zaštititi?
• Poštovanje međunarodno priznatih bezbednosnih
standarda (ISO 27001, PCI DSS)
• Stalno unapređenje sistema i edukacija
zaposlenih
BEZBEDNOST → 100%
RIZIK → 0%

Hvala.
ICT Security 2015
Hotel Aquastar Danube, Kladovo,14-16.5.2014.
Luka Milinković
lukaui@yahoo.com
rs.linkedin.com/in/lukamilinkovic

Aktuelni hakerski napadi pomoću zlonamernih softvera u finansijskom sektoru

Recommended

Recommended

More Related Content

Similar to Aktuelni hakerski napadi pomoću zlonamernih softvera u finansijskom sektoru

Similar to Aktuelni hakerski napadi pomoću zlonamernih softvera u finansijskom sektoru (7)

More from Dejan Jeremic

More from Dejan Jeremic (20)

Aktuelni hakerski napadi pomoću zlonamernih softvera u finansijskom sektoru