В 2017-2018 годах специалисты «Лаборатории Касперского» приняли участие в ответном инциденте, связанном с серией кибер-грабежей в финансовых организациях в Восточной Европе. Исследователи обнаружили, что в каждом случае корпоративная сеть была взломана с использованием неизвестного устройства, управляемого злоумышленниками, которое было тайно было доставлено в здание компании и подключено к сети. На данный момент, по меньшей мере, восемь банков в регионе Восточной Европы подверглись нападению таким образом, а потери оцениваются в десятки миллионов долларов.
Киберпреступники использовали три типа устройств: ноутбук, Raspberry Pi (компьютер с размером кредитной карты) или Bash Bunny (специально разработанный инструмент для автоматизации и проведения атак через порт USB). Все эти устройства были оснащены модемом GPRS, 3G или LTE, что позволяло злоумышленникам удаленно проникать в корпоративную сеть атакованной финансовой организации.
После того как соединение было установлено, киберпреступники попытались получить доступ к веб-серверам, чтобы украсть данные, необходимые для запуска протокола, разрешающего удаленный доступ (протокол удаленного рабочего стола, RDP) на выбранном компьютере, а затем перехватить деньги или данные. На последнем этапе злоумышленники использовали программное обеспечение для удаленного администрирования, чтобы поддерживать доступ к зараженному компьютеру, работающему в сети атакованной финансовой организации.
«За последние полтора года мы стали свидетелями совершенно нового типа банковских атак, достаточно утонченных и сложных с точки зрения обнаружения». Точка входа в корпоративную сеть долгое время оставалась неизвестной, поскольку ее можно было разместить в любом офисе в любом регионе. Они были тайно доставлены и скрыты злоумышленниками. Кроме того, злоумышленники использовали юридические инструменты, что еще больше усложнило реагирование на инцидент», — заявил Сергей Головаков, эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы обеспечить защиту от этого уникального метода кибератак, финансовые учреждения должны предпринять следующие действия:
- Обеспечить мониторинг устройств, подключенных к Интернету, и обратить внимание на доступ к корпоративной сети.
- Устранить уязвимости безопасности, в том числе связанные с неправильной настройкой сети.
- Используйте специализированное решение для защиты от современных киберугроз, которое может обнаруживать все виды аномалий и расследовать подозрительные действия в сети на более глубоком уровне, чтобы выявлять, распознавать и снимать маску со сложных атак.