БОТНЕТЫ И ТРОЯНЫ
Несмотря на то, что проблема электронного мошенничества носит всемирный масштаб, конкретные параметры и вид угроз могут значительно меняться от региона к региону. Так, наиболее распространенными семействами банковских троянов, применяемых для атак на пользователей банковских систем в России, являются Shiz, Hodprot, Carberp и RDPdoor.
Трояны обычно распространяются через уязвимости в браузерах, их надстройках и программах для просмотра офисных документов, в частности Adobe Reader. Вредоносное ПО может инфицировать уязвимые устройства и компьютеры практически на любой платформе, но основная часть случаев распространения данного ПО приходится на компьютеры под управлением ОС Windows. После инфицирования компьютера злоумышленник получает доступ к конфиденциальной информации, вводимой пользователем и хранимой на данном устройстве.
Особую ценность для злоумышленников имеют данные, позволяющие получить доступ к электронным финансовым системам и конфиденциальной информации:
Помимо похищения вводимых данных и хранимых на компьютере файлов, банковские трояны часто обладают рядом дополнительной функциональности:
Поскольку злоумышленникам необходимо агрегировать собираемую с тысяч зараженных машин информацию, инфицированные компьютеры объединяются в сети, называемые бот-сетями или «бот-нетами». Данные при этом передаются на управляющие сервера, которые осуществляют хранение и обработку информации.
Управляющих серверов практически всегда несколько и они могут находиться в различных дата-центрах и даже странах для минимизации риска потери информации. Кроме этого, сам интерфейс доступа к ним может быть довольно запутанным: применяются так называемые сервера-прокладки, осуществляющие туннелирование трафика через разнообразные протоколы до целевых серверов. Обращение же к этим серверам-прокладкам часто производится через доменные имена, при этом каждый троян имеет свой собственный алгоритм генерации новых возможных доменных имен на случай блокирования текущих доменов.
АНАЛИЗ И МОНИТОРИНГ БОТСЕТЕЙ
Одним из наиболее эффективных способов предотвращения хищений из систем ДБО является мониторинг ботнетов и андеграундных площадок на предмет выявления скомпрометированной пользовательской информации. Своевременное выявление скомпрометированных пользователей позволяет вовремя блокировать похищенные учетные записи, изменять параметры доступа и информировать клиентов о факте заражения их рабочих станций.
Технически процесс мониторинга и перехвата данных в бот-сетях – довольно сложная и трудоемкая процедура, требующая высокой технологической компетенции и скоординированной работы множества людей. Одним из главных способов извлечения данных из бот-сетей является процесс, называемый Sink Holing и осуществляемый в несколько этапов.
Кроме мониторинга бот-сетей, огромную роль в предотвращении хищений играет также проактивная разведка на андеграундных площадках – закрытых хакерских сообществах, где злоумышленники продают разнообразные похищенные данные или обмениваются ими. Мониторинг этой активности позволяет выявлять следующие группы скомпрометированной информации:
РЕШЕНИЕ ДЛЯ ПРОТИВОДЕЙСТВИЯ ФРОДУ
Компания Group-IB, лидер в области предотвращения и расследования высокотехнологичных преступлений, за годы работы накопила значительный практический опыт по расследованию и предотвращению хищений из систем ДБО.
В качестве коммерческого решения для борьбы с фродом компания предлагает своим клиентам облачный сервис ботнет-мониторинга и киберразведки Group-IB Bot-Trek (www.group-ib.ru/bot-trek).
Сервис предоставляет финансовым организациям прямой доступ к скомпрометированным данным и идентификаторам их клиентов, которые удалось выявить в ходе анализа сетей зараженных компьютеров и андеграундных площадок. Особенную важность в части предотвращения мошенничеств и денежных хищений имеют следующие данные:
Эффективность системы Bot-Trek обусловлена уникальными технологиями Group-IB и доступом к большому числу источников данных, таких как:
Извлекаемые из бот-сетей данные автоматически расшифровываются и проходят через несколько этапов обработки, в ходе которых информация деперсонифицируется и группируется. Извлеченные и обезличенные данные тщательно изолируются, в результате чего доступ к ним имеет только непосредственный владелец интеллектуальной собственности, который получает немедленную нотификацию по факту обнаруженной компрометации.
Group-IB Bot-Trek – это облачное SaaS-решение, не требующее внедрения какого-либо дополнительного аппаратного или программного обеспечения в инфраструктуру предприятия. Использование сервиса возможно в двух режимах: через защищенный web-интерфейс для ручного поиска и экспортирования данных либо при помощи API для интеграции и автоматической работы с источником данных. Таким образом, система обеспечивает достаточно простую интеграцию с уже существующими антифрод-, IDS-, IPS- и SIEM-решениями.
СТАТИСТИКА ЗА 2012 ГОД
В рамках сотрудничества с ведущими коммерческими банками РФ, сервис ботнет-мониторинга Group-IB Bot-Trek подтвердил свою востребованность и эффективность. Всего за неполный год работы сервиса было зафиксировано более 30 тысяч случаев компрометации данных пользователей систем ДБО, о чём было направлено 154 оповещения в 30 коммерческим банков, осуществляющих коммерческую деятельность на территории Российской Федерации.
Эксперты Group-IB помогают расследовать хищения в системах ДБО и оформлять юридически значимые доказательства
Поимка правоохранительными органами в 2012 году 6 членов преступной группировки Carberp, похитившей через системы дистанционного банковского обслуживания более 110 млн рублей у клиентов многих российских и зарубежных банков, стала значимым прецедентом успешной борьбы с кибермошенничеством в России. Существенную роль в расследовании и сборе доказательной базы сыграли эксперты – IT-криминалисты компании Group-IB.
Расследование массовых хищений вели Управление «К» при участии других подразделений МВД России и Центра информационной безопасности ФСБ России. Специалисты ОАО «Сбербанк России», у клиентов которого похитили более 13 млн рублей, изъявили готовность профинансировать сложные криминалистические IT-экспертизы. Эту работу выполнили сотрудники Group-IB – одной из ведущих компаний, оказывающих экспертные услуги в ходе расследования инцидентов информационной безопасности и компьютерных преступлений.
Банки предоставляли данные об инцидентах, оперативные сотрудники правоохранительных органов отслеживали перемещение похищенных средств, специалисты Group-IB проводили криминалистические экспертизы. Благодаря многомесячной совместной работе многочисленные разрозненные факты удалось выстроить в единую картину.
Вначале был выявлен организатор преступной группы, который управлял специализированной банковской бот-сетью. Затем – обнаружены серверы управления и факты манипулирования трафиком популярных сайтов для заражения вредоносными программами компьютеров − рабочих мест клиентов ДБО. Экспертизы, проведенные в Лаборатории компьютерной криминалистики Group-IB, однозначно подтвердили использование злоумышленниками вредоносных программ Win32/Carberp и Win32/Rdp-door для хищений денежных средств.
Высокая квалификация экспертов Group-IB как в информационных технологиях, так и в юридических вопросах позволила восполнить отсутствие в Уголовно-процессуальном кодексе РФ определения цифровых доказательств. В качестве нормативных документов были использованы методические рекомендации МВД России по производству компьютерно-технических экспертиз. В результате были документально оформлены ключевые эпизоды деятельности членов преступной группировки Carberp.
Эксперты Group-IB имеют сертификацию такую же, как специалисты Экспертно-криминалистического центра МВД РФ (ЭКЦ МВД России). На основании результатов комплексного криминалистического исследования можно заводить уголовное дело, они также принимаются и в суде. До 70% экспертиз для правоохранительных органов лаборатория делает бесплатно, разгружая экспертно-криминалистический центр МВД России.
По сути, специалисты Group-IB работают в формате частных IT-детективов и собирают «цифровые доказательства» в формате, который гарантированно принимается правоохранительными и судебными органами в ходе разбирательства. Это − прекрасная помощь в проведении доследственной проверки для возбуждения уголовного дела. В Group-IB обращаются не только клиенты, у которых были похищены деньги через систему ДБО, но и банки.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных