Počas roka 2017 a 2018 boli experti Kaspersky Lab prizvaní na preskúmanie incidentu po sérii kyberlúpeží, ktoré boli namierené na finančné inštitúcie vo východnej Európe. Analytici spoločnosti zistili, že v každom jednom zo skúmaných prípadov došlo k prelomeniu korporátnej siete prostredníctvom neznámeho zariadenia pod kontrolou útočníka, ktoré bolo prepašované do budovy organizácie a bolo pripojené na sieť. Tieto útoky si vyslúžili prezývku „DarkVishnya“. Najmenej osem bánk v tomto regióne bolo napadnutých týmto spôsobom s odhadovanou škodou v desiatkach miliónov dolárov.
Útočníci použili tri typy zariadení, a to laptop, Raspberry Pi (jednoduchý jednodoskový počítač veľkosti kreditnej karty) alebo Bash Bunny (nástroj so špeciálnym dizajnom na automatizáciu a realizáciu USB útokov) vybavené GPRS, 3G alebo LTE modemom, ktorý umožnil útočníkom cez vzdialený prístup vniknúť do korporátnej siete finančnej inštitúcie.
Akonáhle došlo k naviazaniu spojenia, kyberzločinci sa najskôr snažili získať prístup k webovým serverom, aby ukradli dáta potrebné na spustenie RDP (proprietárneho sieťového protokolu) na vybranom počítači a následne došlo k odcudzeniu finančných prostriedkov alebo dát. Táto bezsúborová metóda útoku zahŕňala použitie Impacketu, winexesvc.exe alebo psexec.exe (nástroje, ktoré umožňujú spustenie na diaľku). Vo finálnej fáze použili útočníci softvér pre vzdialenú kontrolu, aby si zachovali prístup do napadnutého počítača.
„Behom posledného roka a pól sme sledovali kompletne nový typ útokov na banky, ktoré boli mimoriadne sofistikované a zložité v súvislosti s ich detekciou. Miesto vstupu do korporátnej siete zostával neznámi veľmi dlhú dobu, keďže mohlo ísť o akúkoľvek z kancelárií v ktorejkoľvek pobočke a v ktoromkoľvek regióne. Tieto neznáme zariadenia prepašované a schované útočníkmi nebolo možné nájsť a identifikovať na diaľku. Navyše, útočník využil legitímne pomocné programy, čo ešte viac skomplikovalo reakciu na incident,“ povedal Sergey Golovanov, bezpečnostný expert spoločnosti Kaspersky Lab.
Aby bolo možné chrániť organizáciu pred týmto neobvyklým typom digitálnej kyberlúpeže, finančným inštitúciám odporúčame:
- Dávať pozor špecificky na monitorovanie pripojených zariadení ako aj na prístup do korporátnej siete, napríklad prostredníctvom riešenia Kaspersky Endpoint Security for business.
- Eliminovať všetky bezpečnostné diery, vrátane tých, ktoré zahŕňajú nesprávnu sieťovú konfiguráciu. V takýchto prípadoch je napríklad dostupná služba Kaspersky Penetration Testing – ide o pohodlné a veľmi efektívne riešenie, ktoré nielenže poskytuje dáta o nájdených zraniteľnostiach, ale organizáciám zároveň poradí, ako ich odstrániť, čím ešte viac posilní korporátnu bezpečnosť.
- Používať špecializované riešenia proti pokročilým hrozbám (ako napr. Kaspersky Anti Targeted Attack Platform), ktoré môžu detekovať všetky typy anomálií a detailne skúmať podozrivé aktivity v sieti na hlbšej úrovni, aby odhalili, rozpoznali a odkryli komplexné útoky.