Niemal codziennie słyszymy o atakach na klientów banków. Nie są one zazwyczaj szczególnie zawoalowane technicznie i opierają się raczej na socjotechnice. Podatnością w całym układzie jest najczęściej naiwny klient, który wchodząc w interakcje na przykład z mailami nieznanego pochodzenia sam zaprasza złodzieja w swoje progi.

DarkVishnya – atak w filmowym stylu

Znacznie rzadsze są bezpośrednie ataki na infrastrukturę bankową – komu jak komu, ale bankom nie brakuje środków, by odpowiednio zabezpieczyć swoje cyberzaplecze. Nie oznacza to jednak, że śmiałków nie ma – w zeszłym roku ofiarą złożonego wieloetapowego ataku APT (Advanced Persistent Threat, napastnik przez dłuższy czas niezauważony penetruje infrastrukturę ofiary) była Komisja Nadzoru Finansowego. Teraz o ciekawym pomyśle ataku na banki informują eksperci z Kaspersky Lab.

Co ciekawe, jest to atak, do którego potrzebny jest fizyczny dostęp do bankowej infrastruktury – wydawałoby się, że w dobie restrykcyjnych polityk bezpieczeństwa scenariusz taki skazany jest na porażkę. Nic bardziej mylnego. Atak DarkVishnya, bo taką nazwę nadano kampanii w laboratoriach Kaspersky’ego, poskutkował w ciągu ostatnich 24 miesięcy penetracją infrastruktury co najmniej 8 banków we wschodniej Europie, powodując straty rzędu dziesiątek milionów dolarów.

Podatność stanowiły łatwo dostępne w biurach gniazda. Fot. Kaspersky Lab

Atak DarkVishnya przebiegał w trzech etapach. Pierwszy z nich jest iście filmowy – jeden z atakujących wybiera się osobiście do oddziału banku – Kaspersky nie podaje, o jakie instytucje chodziło. Preteksty były różne – zabiegi serwisowe, rozmowa o pracę, sprzątanie. Celem było oczywiście znalezienie się jak najbliżej sprzętu podłączonego do lokalnej sieci. Atakującym sprzyjały nowoczesne biura, gdzie obok siebie, np. w podłodze, dostępne są gniazdka elektryczne i RJ-45. Wystarczyło odwrócenie na chwilę uwagi osoby przeprowadzającej rozmowę kwalifikacyjną, by atakujący umieścił w gnieździe np. odpowiednio przygotowane do tych celów Raspberry Pi czy inne urządzenie USB typu Bash Bunny.

Winna wygoda nowoczesnych biur

Wydawałoby się, że tak prymitywny plan nie ma szans powodzenia, a systemowe zabezpieczenia od razu wychwycą urządzenie przedstawiające się jako pendrive czy klawiatura. Tak się jednak nie stało, zapewne przez to, że pracownicy banku mechanicznie zaakceptowali wyświetlający się na ich ekranach komunikat. To zaś pozwoliło na przejście do drugiego etapu ataku DarkVishnya – podłączenie urządzenia skanowały komputery w poszukiwaniu zasobów, do których nie był potrzebny login i hasło. Równocześnie przeprowadzany był atak brute-force (przy tak niewielkich zasobach zapewne umiarkowanie skuteczny), zaś atakujący mieli zdalny dostęp dzięki zamontowanym na Raspberry czy urządzeniach Bush Bunny modemom LTE.

Aby obejść ograniczenia narzucane przez firewall stosowano shellcode’y i adresy z lokalnych serwerów TCP. Jeśli firewall zabezpieczał przed penetracją sieci, do akcji ruszało oprogramowanie dystrybuowane przez same urządzenia. Stosowano po prostu połączenie zwrotne – nawet jeśli potrzebne do ataku porty były zamknięte, to malware instalowane z Raspberry je otwierało. To zaś gwarantowało atakującym w zasadzie pełny zdalny dostęp do urządzenia i skończyło się przekazaniem na zanonimizowane portfele milionów dolarów.

Kto by pomyślał, że tak prosty, w pewnym sensie archaiczny i wręcz filmowo zuchwały atak ma dziś jeszcze szansę powodzenia. Można spodziewać się, że kilka wschodnioeuropejskich banków (rozlokowanych najpewniej za naszą wschodnią granicą, co sugeruje naklejka na udostępnionej przez Kaspersky Lab powyższej fotografii) ma teraz sporo do nadrobienia w kwestii polityki bezpieczeństwa, zaś administratora, który umożliwił instalację sprzętu w komputerach szeregowych pracowników, zapewne czekają konsekwencje.