aktuelni hakerski napadi pomoću zlonamernih softvera u finansijskom sektoru

Aktuelni hakerski napadi pomoću zlonamernih softvera u finansijskom sektoru

Luka Milinković [email protected] rs.linkedin.com/in/lukamilinkovic

ICT Security 2015 Hotel Aquastar Danube, Kladovo,14-16.5.2014.

mailto:[email protected]

https://www.linkedin.com/in/lukamilinkovic

Hakerski napadi • Finansijski sektor

• ATM i POS terminali

• Slanje zaraženih mail-ova

• Platne kartice, PIN-ovi, lozinke, nalozi…

• Zlonamerni softveri na mobilnim uređajima • Zaražene i zlonamerne aplikacije

2 Hotel Aquastar Danube, Kladovo ICT Security 2015

Hakerski napadi • Man-in-the-middle, man-in-the-browser (Dyre)

• Izmena računa na koji treba da se izvrši redovna uplata

• Prodaja i dopuna postojećih napada

• Eksterni napadi

• Interni napadi, insajderi

• Napadi kod dobavljača


Equation group • Aktivna je još od 2001. (a možda i od 1996 – Windows 95/98/ME)

• Kompleksne vrste napada

• Koriste kriptografske algoritme i sofisticirane metode napada

• Modifikovana verzija RC5 algoritma, zatim RC4, RC6, AES, SHA-256…


Equation group • EquationLaser je kompatibilan sa Windows 95/98

• Širi se prvenstveno preko CD-ova • Pretpostavlja se da se koristio za početno inficiranje računara

• GROK keylogger – napredna verzija keylogger-a, koji krade lozinke, ali i analizira druge podatke koji se unose

• Najmanje 4 zlonamerna softvera su koristila ne poznate propuste/ranjivosti


DubleFantasy • Trojanac

• Napada preko interneta • Zaraženi CD-ovi sa materijalima sa naučnog skupa u Hjustonu • Aktuelna verzija je 13 (samo 4 verzije ispitane) • TripleFantasy je nadogradnja?

• Prvi stepen da bi se zarazio neki računar

• Analizira da li je žrtva zanimljiva • Koristi backdoor za napad na interesantne računare

• Ako je meta zanimljiva nadograđuje se na EquationDrug ili GrayFish


EquationDrug i Gray Fish

• EquationDrug je dizajniran za Windows 95/98/ME

• SHA-256 (GrayFish)

• Reprogramiranje firmware-a hard diska da bi se obezbedio opstanak zlonamernog softvera

• Maxtor, IBM, Western Digital, Seagate, Hitachi, Toshiba…


EquationDrug i Gray Fish • Zlonamerni softveri se mogu naći na posebnim sektorima diska, koji su zaštićeni od brisanja i formatiranja • Ovde se smeštaju i ukradeni podaci

• Ovi zlonamerni softveri se nekada koriste za razbijanje enkripcije

• Ne postoji jednostavan način da se proveri da li je hard disk zaražen ovim zlonamernim kodom • Može upis i izmena firmware-a, ali ne i čitanje


Funny • Samoreplicirajući crv, koji se širi preko USB flash memorije

• Prenos podataka sa računara u izolovanoj mreži na računar koji je na internetu • Više od 300 domena i 100 servera u različitim zemljama gde se

šalju ukradeni podaci

• Zaražena USB flash memorija ima poseban zaštićeni deo memorije za prikupljanje osnovnih informacija o računaru van mreže


Funny • Pojavio se 2008, a otkriven je u decembru iste godine

• Bezbednosni propust Microsoft-a

• Pojavio se nešto pre Stuxnet-a sa kojim postoji velika sličnost

• Razvijani su zajedno ili su dve hakerske grupe sarađivale


Equation group

• Sličnost sa Regin-om zbog multi-maliciozne softverske platforme • Kompleksnost strukture

• Razvoj je trajao više meseci, a možda i godina

• Stručan i obučen hakerski tim

• Ko stoji iza?


Carbanak • Internacionalna hakerska grupa

• Kinezi, Rusi, Ukrajinci i državljani drugih evropskih država

• Napadi traju od 2013. do danas

• Ukradeno skoro milijardu dolara u finansijskim institucijama širom sveta • Oko 100 bankarskih institucija u skoro 30 zemalja sveta

• Napadi su trajali od 2 do 4 meseca u istoj banci


Postupak napada • I korak – Spear phishing (attachment ili link)

• .doc i .cpl (Control Panel Applet) fajlovi • Korišćeni su propusti u Microsoft Office 2003, 2007 i 2010

• II korak – zarazi se jedan ili više računara u banci

• III korak – traže se administratorski računari koji upravljaju video nadzorom ili računari na kojima je prikaz kamera koje nadgledaju rad na šalteru

• IV korak – podizanje novca


Podizanje novca • eBnaking ili međunarodni sistem plaćanja (SWIFT) za prenos na račune u drugim bankama • 10 miliona dolara • Transfer novca na bankovne račune u SAD, Kinu…

• Podizanje novca na bankomatu

• 7,3 miliona dolara

• Klijenti nisu oštećeni

• Preko zlonamernog softvera napadači podignu vrednost računa nekog klijenta za, npr. 5.000 dolara, koje odmah i ukradu


Tehnika napada

• Zlonamerni softver – svchost.exe • System, hidden, read-only • Original se briše

• Napadači nisu hakovali core sistem ili aplikacije za transfer novca

• Najviše vremena su koristili za učenje kako da obavljaju transakcije, a da se to brzo ne primeti


PoSeidon

• Cisco je sprečio dalje širenje keylogger-a

• Podaci se šalju serverima hostovanim u Rusiji

• Napadači kradu informacije sa magnetne piste i PIN kodove

• Koriste se za pravljenje bele plastike i transakcije na ATM i PoS terminalima


PoSeidon • Loader – pokušava da se održi na ciljanom računaru i posle resetovanja sistema • Verzija 11.4 • Kontaktira kontrolni server da bi preuzeo i instalirao keylogger

• FindStr – instalira se keylogger, skenira se memorija PoS-a i čekaju se nove transakcije • Verzija 7.1 • Prikupljene podatke šalje napadačima preko interneta

• 62% funkcionalnosti Loader i FindStr je ista


Kako kriminalci funkcionišu? • Nextep, Bevo pos

• Zaustavili napad u roku od 36, odnosno 24 časa

• Common point of purchase (CPP) – zajednička tačka kupovine • Banke često kupuju nekoliko ukradenih kartica kada se pojavi nova

serija da vide da li je sve od jednog ili više trgovaca • Kriminalci prodaju kartice iz različitih krađa (od različitih žrtva) u

svakoj novoj seriji da bi zbunili istražitelje

• End-to-end enkripcija


The Dyre Wolf • Posebna tehnika phishing napada

• Ukradeno preko milion dolara od ciljano napadnutih kompanija

• Prvo saznaju koje kompanije imaju transakcije sa većim sumama novca i onda njih napadaju

• Napad se oslanja na ljudsku grešku • Po IBM-ovoj proceni 95% svih napada se zasniva na ljudskom

faktoru


The Dyre Wolf • Zaposlenima se šalje spam e-mail, koji sadrži zlonamerni softver • Ne gađa pojedinca, već kompaniju što ga razlikuje od većine

bankarskih trojanaca

• Zlonamerni softver download-uje Dyre

• Inficira računar kompanije i čeka da zaposleni poseti sajt banke

• Kada zaposleni pokuša da se uloguje na sajt banke prikaže se lažna poruka o problemu i uvek isti broj telefona za pomoć


The Dyre Wolf • Pozivajući broj zaposleni direktno komunicira sa napadačem • Napadač uvek zna o kojoj banci se radi i pokušava da sazna

informacije o računu • Korisničko ime, lozinku, broj računa

• Novac se prebacuje na offshore račune u drugim bankama

• Istovremeno izvode i DDoS napad kako bi zamaskirali akciju tokom koje inficiraju računare


The Dyre Wolf • Jedinstven napad – razgovor kriminalaca sa osobama, koje su napadnute

• Vuk u jagnjećoj koži!

• Većina antivirusnih softvera nije uspela da ga detektuje

• Rešenje – edukacija zaposlenih i test reakcije zaposlenih na mail-ovi sa phishing napadom


Kako se zaštititi? • Ransomware u Hrvatskoj, BiH, Srbiji…

• Važno je da postoji back up • Nakon ovakvog uspešnog napada kompanija može da se ugasi

• Potencijalna pretnja

• Krađa informacija o klijentima • Onemogućavanje servisa na primarnoj lokaciji da bi se prešlo na

sekundarnu, a zatim kriptovanje ili uklanjanje podataka i na primarnoj i na sekundarnoj lokaciji

• Najmanje 50% IT budžeta će se koristiti za zaštitu korporativne mreže i podataka


Kako se zaštititi? • Poštovanje međunarodno priznatih bezbednosnih standarda (ISO 27001, PCI DSS)

• Stalno unapređenje sistema i edukacija zaposlenih

BEZBEDNOST → 100%

RIZIK → 0%


Hvala.

ICT Security 2015 Hotel Aquastar Danube, Kladovo,14-16.5.2014.

Luka Milinković [email protected] rs.linkedin.com/in/lukamilinkovic

mailto:[email protected]

https://www.linkedin.com/in/lukamilinkovic

aktuelni hakerski napadi pomoću zlonamernih softvera u finansijskom sektoru

Technology