Hackeři zaútočili na nejslabší článek zabezpečení bank - na jejich zaměstnance. A dařilo se jim. Z více než 100 napadených bank v 30 zemích zjevně dostali miliardu dolarů.
Carbanak. Tak se jmenuje malware, který řádí v bankách po celém světě a údajně je jeho aktivita zaznamenána i v Česku. Jeho tvůrci si díky trpělivosti a cílení na nejslabší článek zabezpečení bank, tedy jejich zaměstnance, přišli odhadem na miliardu dolarů. Samotné banky o tom přitom zpravidla nemají ani tušení. S touto značně znepokojivou zprávou nyní přišla společnost Kaspersky Lab, která činnost malwaru Carbanak odhalila.
Útočilo se na banky po celém světě. Nejvíce v Rusku a USA, ale Česká republika je na seznamu také
Velká kybernetická loupež
Všechno začalo u jednoho rozdavačného bankomatu v Kyjevě, který náhodně několikrát denně vydával hotovost. A jak poté ukázaly záběry z bezpečnostní kamery, peníze si sebrali jakoby náhodní kolemjdoucí, kteří měli to štěstí, že byli zrovna poblíž a všimli si. Štědrost bankomatu nechtěla banka tolerovat, a protože si sama neporadila při pátrání, jaká chyba z robota učinila samovolného filantropa, tak si najala bezpečnostní experty z Kaspersky Lab.
Lidé z Kaspersky Lab se pustili do zkoumání a došli k malwaru Carbanak, který si podmanil celý interní systém banky. To bylo koncem roku 2013. Celý loňský rok pak trvalo odhalování monstrózního dopadu tohoto softwaru, který nemá na svědomí jen nějaký pomatený bankomat v Kyjevě, ale průnik do bank celého světa a odcizení odhadem miliardy dolarů.
Před zveřejněním samozřejmě Kaspersky Lab nejprve informoval o svém objevu mezinárodní vyšetřovatele a napadené banky, po pachatelích tedy už nějaký čas pátrají Europol, Interpol, FBI a další vyšetřovací orgány, v bankách pak probíhají bezpečnostní prověrky.
Skupina hackerů, která má Carbanak na svědomí, pochází převážně z Ruska, Ukrajiny, ale i z jiných částí Evropy a také z Číny. Cílili především na ruské banky, ovšem postupně pokryli téměř celý svět včetně USA a České republiky.
Jak to funguje?
Princip útoku je v zásadě triviální, útočníci se nesnaží oblafnout samotné bankovní systémy, ale uživatele, kteří s nimi pracují. Na začátku je tedy prachobyčejný phishing. Není však cílený na masu uživatelů banky, jak je obvyklé, ale na její zaměstnance. Phishing tak mohl být daleko více sofistikovanější. Kdo se nachytal, umožnil spuštění škodlivého softwaru v počítači. Pak mohlo začít sledování přístupových údajů, ale i rutinních činností.
„Poté byli hackeři schopní vstoupit do interní sítě a vysledovat správcovské počítače určené pro bezpečnostní kamery. To jim umožnilo sledovat vše, co se dělo na obrazovkách zaměstnanců, kteří pracovali se systémy převodů hotovosti. Takto podvodníci získali detailní přehled o práci bankovního úředníka a mohli ji napodobit tak, aby převedli a vybrali peníze,“ popisuje postup Kaspersky Lab ve své zprávě.
Takto Kaspersky Lab popisují princip útoku. Na začátku je infikovaná e-mailová zpráva cílená na zaměstnance banky. Malware se pak z jednoho počítače rozšíří přes celý intranet banky. Následně jsou obkoukány zvyklosti při práci s převody peněz a posléze aplikovány.
Hackeři si počínali obezřetně a trpělivě, útok na každou banku trval dva až čtyři měsíce, nikdy to nepřeháněli s nápadně velkými odvody peněz a z napadené banky se po čase stáhli. Zpravidla poté, co z ní postupně vysáli kolem deseti milionů dolarů.
Peníze získávali nejčastěji jednoduše tak, že interně provedli mezinárodní převodní příkaz ve prospěch vlastních účtů vedených v Číně nebo USA, kde poté provedli jejich výběr. Aby eliminovali rychlou reakci postižených uživatelů, zvýšili v bankovním systému zůstatek na účtu o libovolnou částku, kterou následně převedli jinam a na původním účtu zanechali původní zůstatek. Dotčený majitel účtu si tak změny ani nemusel všimnout a kontrolní systémy banky takto vzniklé manko zpravidla zaevidují až v řádech hodin či dnů.
Cesta peněz ven z banky vedla i přes bankomaty. Také ty útočníci mohli leckdy na dálku ovládnout a nastavit, aby vydaly zadaný obnos peněz. A tím už se dostáváme zpátky ke štědrému bankomatu z Kyjeva. Ten pochopitelně neobšťastňoval náhodné kolemjdoucí, ale připravené členy skupiny. Úniky přes bankomaty byly jen malým zlomkem, většina peněz byla získána převody. O to více teď musí útočníky mrzet, že právě přes chybu bankomatu bylo jejich počínání odhaleno.
Nezáleží na softwaru, nejslabší článek je vždy člověk
Celkem bylo podle aktuálních zjištění Kaspersky Lab napadeno více než 100 bank ze 30 zemí. Jak dle podrobnějších zjištění upřesňuje NY Times, potvrzeny jsou zatím škody za 300 milionů dolarů, ale vzhledem k „tradici“ vybírat 10 milionů dolarů v každé bance a jasným důkazům že se dostali do více než sta bank, hovoří se již o předpokládané škodě, tedy miliardě dolarů.
„Kybernetickým zločincům bylo jedno, jaký software banka používá. Banky by proto neměly polevit a být stále na pozoru, i když používají unikátní software. Útočníci ani nemuseli nahackovat bankovní služby. Když se dostali do systému, zjistili, jak zakrýt své zločinné aktivity legitimní činností. Jde o velice propracovanou a profesionální bankovní loupež,“ řekl k případu Sergej Golovanov, vedoucí analytik Kaspersky Lab.
Jste admin v bance? Tak si zkontrolujte, jestli tam nemáte škodnou...
