19 feb. 2015

APT Carbanak: el robo del siglo

La historia de Carbanak comenzó cuando un banco de Ucrania nos pidió ayuda con una investigación forense: Le estaban robando misteriosamente el dinero desde los cajeros automáticos. Al principio creímos que se trataba del programa malicioso Tyupkin. Sin embargo, después de investigar el disco duro del sistema de cajeros automáticos, no logramos encontrar nada, salvo una inusual configuración VPN (la máscara de red estaba fijada en 172.0.0.0).

En ese momento, nos pareció como un ataque más de programas maliciosos. Ni nos imaginábamos en ese entonces que pocos meses después uno de nuestros colegas recibiría una llamada a las tres de la madrugada. Era un gerente de cuenta que nos pedía que hiciéramos algunas llamadas urgentes. Al otro lado de la línea se encontraba el jefe de estrategia de un banco ruso. Uno de sus sistemas alertaba sobre envíos de datos desde su controlador de dominio hasta China.

Cuando llegamos a sus oficinas, logramos rápidamente encontrar el programa malicioso en el sistema. Escribimos un script batch para eliminar el programa de un PC infectado, y lo ejecutamos en todos los ordenadores del banco. Lo hicimos varias veces hasta estar seguros de que todos los equipos estaban limpios. Por supuesto, guardamos muestras que nos permitieron descubrir el programa malicioso Carbanak.

Cómo funciona

Un análisis forense más exhaustivo nos condujo al punto inicial de la infección: un mensaje de correo tipo spear-phishing con un adjunto CPL. En otros casos se utilizaron documentos Word que explotaban vulnerabilidades conocidas. Después de ejecutar el shellcode se instala en el sistema una puerta trasera basada en Carberp. Esta puerta trasera es lo que hoy conocemos como Carbanak. Está diseñada para el espionaje, la extracción de datos y el control remoto.

Una vez que los atacantes penetran en la red, realizan un reconocimiento manual para infectar los equipos más importantes (como los de los administradores) y utilizan herramientas de movimiento lateral. En resumen, después de penetrarla, exploran la red hasta encontrar su punto de interés. Este punto de interés varía según los ataques. Sin embargo, lo que todos tienen en común es que desde este punto es posible extraer dinero desde la entidad infectada.

Los ciberdelincuentes que controlan Carbanak no necesitan conocer con antelación el funcionamiento de los bancos que atacan, ya que varía de uno a otro. Para poder entender cómo funciona un determinado banco, grabaron vídeos usando los equipos infectados que posteriormente enviaron a sus servidores de comando y control. Aunque la calidad de los vídeos era bastante pobre, servían a los propósitos de los atacantes, que también contaban con los datos interceptados a través del teclado del equipo espiado, para entender lo que su víctima hacía. Esto les proporcionó los conocimientos que necesitaban para robar el dinero.

Procedimientos del robo

En nuestra investigación detectamos varias de las formas en que realizaban el robo:
Los cajeros automáticos recibían instrucciones remotas para entregar dinero sin necesidad de interactuar con la máquina, y el dinero lo recogían mulas. Usaban la red SWIFT para transferir el dinero desde el banco a las cuentas de los ciberpiratas. Asimismo, alteraban las bases de datos con información de cuentas para crear cuentas falsas con un saldo bastante elevado.

Infecciones y pérdidas

Desde que comenzamos a investigar esta campaña, trabajamos de forma estrecha con las autoridades que perseguían al grupo Carbanak. Como resultado de esta cooperación nos enteramos que los blancos alcanzaban hasta 100. En el caso de las instituciones financieras, al menos la mitad de los casos, los ciberdelincuentes lograron robarles dinero. Las pérdidas por banco están entre los 2,5 y 10 millones de dólares, aproximadamente. Sin embargo, según la información bridada por dichas autoridades y por las mismas víctimas, las pérdidas financieras totales podrían ascender a los 1.000 millones de dólares, lo que harían de esta campaña cibercriminal la más exitosa que hayamos visto.

Nuestra investigación comenzó en Ucrania y después pasó a Moscú, y la mayoría de las instituciones financieras atacadas por el grupo se encontraba en Europa oriental. Sin embargo, gracias a los datos de KSN y a la información obtenida de los servidores de comando y control, sabemos que Carbanak también atacó a blancos en EE.UU., Alemania y China. Ahora estos ciberpiratas están ampliando sus operaciones a nuevas zonas, como Malasia, Nepal, Kuwait y varias regiones en África, entre otras.

El grupo sigue activo, por lo que pedimos a todas las entidades financieras que procedan a escanear sus redes en busca de Carbanak. Si lo encuentran, deben dar parte inmediatamente a las respectivas autoridades.

Para conocer la campaña en profundidad, los IOCs y la lista de infecciones, puedes leer el informe de Kaspersky. Para verificar la presencia de Carbanak, puedes usar el fichero abierto IOC que ponemos a tu disposición aquí (OpenIOC).

Fuente: Kaspersky

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!