Многие софтверные компании в начале текущего года представили свои оценочные прогнозы относительно основных тенденций на рынке защиты информации. Компания McAfee Labs видит 2015 год под знаком расширения использования эксплойтов, техник обхода, а также увеличения количества специалистов в области кибервойны. Разработчики антивирусных пакетов ESET отмечают, что в 2015 году «популярность» кибератак на терминалы в хакерской среде неминуемо будет расти. Аналитики также предсказывают, что и на POS-терминалы кибератаки будут в тренде. Хакеры в текущем году будут все больше обращаться к «проработке» цифровых платежей, которые все чаще осуществляют с помощью смартфонов.
Интернет-банкинг беспощаден к простофилям
Более половины всех клиентов банков для защиты банковских интернет-операций применяют одноразовый пароль, или mTAN (Mobile transaction authentication number). Большинство клиентов пользуются мобильными TAN, или SMS с одноразовым паролем. Тем не менее, уже в конце 2014 года злоумышленники нашли обходной путь. Свою атаку хакеры начинают с внедрения трояна Retefe, который распространяется через поддельные электронные письма якобы от известных интернет-магазинов. В компьютере жертвы вредоносное ПО изменяет настройки DNS и устанавливает SSL-сертификат. Таким образом, обращаясь к странице интернет-банкинга, измененные настройки DNS перенаправляют пользователя на фальсифицированный сайт, сертификат которого уведомляет о шифровании, однако предупреждения о незнакомом сертификате пользователь видеть не имеет возможности, а значит, надеяться на обнаружение сайта-подделки не приходится.
При введении входных данных пользователь получает предложение установить на смартфон специальное приложение, без которого, как сигнализирует сайт, дальнейшее использование интернет-банкинга невозможно. Уже начиная со следующего уведомления с реального сайта интернет-банкинга, отправляемые банком SMS перехватываются, на подставной странице, благодаря «подсмотренным» данным, которые вводились клиентом в начале…
Таким образом, у злоумышленников оказывается полный доступ к учетной записи пользователя. В исследовании «Лаборатории Касперского» считают, что у киберпреступности появилась новая тенденция, которая характеризуется методами целенаправленных прямых атак на финансовые организации и платежные системы. Этот тренд в 2015 году будет только расширяться.
Неуловимый Anunak
Международные компании Group-IB и Fox-IT, занимающиеся расследованием и предотвращением кибер-преступлений, опубликовали свои расследования деятельности хакерской группировки Anunak. Ее изобличили в причастности к многочисленным кибератакам на банковские и платежные системы, а также – к кибершпионажу. До сих пор ее деятельность не пресечена. Киберпреступники этой группировки «работают» в основном по России, однако за ними числятся и успешные взломы банков и платежных систем в Восточной Европе Во главе преступников хакеры из России и Украины. У Anunak есть свой почерк. Проникая во внутренние банковские сети и системы защищенных электронных платежей, злоумышленники похищают деньги не с клиентских счетов, а со счетов самой финансовой организации. В прошлом году злоумышленники этой группы сфокусировались на взломе сетей компаний розничной торговли Европы, США и Латинской Америки.
Похищенные деньги хакеры Anunak через системы электронных расчетов Web Money, Яндекс Деньги, QIWI переводили на счета подконтрольных им банков. Обналичивались средство по групповому принципу: 15-20 эмигрантов из бывших советских республик, находящихся в разных городах России, получали средства в банках, также переводы направлялись на Украину и в Беларусь. Работают «анонимы» Anunak по своему внутреннему регламентиру. «Норматив» на ограбление намеченной финансовой организации – от проникновения ее в служебную сеть и до успешной кражи – составляет в среднем 42 дня. За 2014 год хакеры Anunak взломали более 50 российских банков и пять платежных систем, причем, две из этих финансовых организаций, в результате, лишились своих лицензий. Суммарно злоумышленники обогатились более, чем на миллиард рублей, это порядка 25 млн долларов. Против действовавших мер банковской безопасности хакеры Anunak используют новые технологии киберграбежа, основанного, в частности, на перехвате и модификации данных банков и провайдеров платежей. Помимо взлома банков, злоумышленники внедрялись в сети медиа-группы, бизнес-компаний и даже государственных учреждений.
Хакеры, идя на «дело», осуществляли через веб- камеры видеосъемку поведения пользователей. Получая доступ к серверам электронной почты MS Exchange и Lotus, злоумышленники устанавливали контроль за внутренней перепиской, оперативно обнаруживая повышение активности в банковских сетях, а также мерах, предпринимаемых для ее анализа и устранения проблемы. Anunak использовал банковскую сеть для проникновения в систему управления банкоматами, куда внедрялись специальные вирусные программы, которые обеспечивали нелегитимную выдачу наличных денег, заставляя аппарат в заданное время «путать» номинал выдаваемых одному из сообщников банкнот. Например, вместо 100 рублей выдавались купюру номиналом 5000 рублей. Или: по модифицированной отладочной команде банкомат «вываливал» все содержимое денежного лотка. Следствием подтверждено, что группировка Anunak, взломав 52 банкомата, уже присвоила свыше 50 млн рублей.
Предупрежден, значит вооружен
Прогнозные ожидания хакерской активности в том или ином направлении настраивают разработчиков систем защиты информации не только заниматься «латанием дыр» в своих кодах, но и консолидировать усилия, создав своеобразный «фронт противодействия» совершенствующимся угрозам. В фокусе внимания будут развитие технологий ИБ, которые сократят время детектирования за счет более активного использовании аналитики угроз, а также разработка модели системы безопасности для встраивания и интегрирования в любое устройство на всех уровнях инфраструктуры. Насколько эффективным оказалось противодействие разработчиков систем безопасности хакерам станет ясно в конце 2015 года.
