Hlavní navigace

Ruská skupina hackuje banky a vybírá bankomaty. Útočníci mají nový trik

Autor: Jan Sedlák
Jan Sedlák

Hackerské útoky na banky nejsou jenom drobné krádeže z ukradených kreditek. Stále častější jsou pokročilé ataky na interní systémy firem.

Ulicemi Moskvy už nějakou dobu jezdí organizovaná skupina. Zastavuje se u bankomatů v různých částech města a snaží se vybírat peníze. Znova a znova, jako by konta byla bezedná. Nejsou to žádní skimmeři a podobně, kteří používají zcizené a naklonované kreditní karty. Místo toho mají něco, čemu se říká magic card, kouzelná, nevyčerpatelná platební karta.

Tento „kouzelný měšec“ představuje nový typ útoků, kterým banky v posledních měsících musí čelit. Už nejde o odčerpávání menších částek z ukradených kreditek, ale o cílené zásahy do IT systémů finančních institucí.

Trik spočívá v tom, že hackeři dokáží prostřednictvím phishingu proniknout přímo do interního prostředí bank a do systémů, které mají přístup ke správě peněz. Jde typicky o zákaznická centra, oddělení správy platebních karet a tak dále. Zaměstnanci podobných oddělení přitom například mohou zrušit provedenou transakci – třeba kvůli podezření z neoprávněné manipulace. Případně provádí reklamace v situaci, kdy bankomat nevydá peníze, ale odečte je z účtu.

Proklikat se k penězům

Hackeři tento systém využívají ve svůj prospěch. Kdykoliv v terénu z bankomatu pomocí magic card vyberou nějakou částku, na účtu se transakce zablokuje a zůstatek vypadá nezměněný. „Proklikávají se tak k penězům,“ popisuje Lupě Sergey Golovanov ze společnosti Kaspersky Lab, který praktiky magic card analyzoval. Proces blokace už se útočníkům také podařilo zautomatizovat pomocí skriptů.

Banky si podivných transakcí začaly po nějaké době všímat. Útočníci vybírají po čtyřech tisících eurech, a když už poněkolikáté chce jedna banka po druhé proplatit transakci, začne to být podezřelé. „Pak banky kontaktovaly nás. Nejdříve jsme pátrali v systémech, které obsluhují bankomaty, ale tam jsme nic nenašli. Nakonec jsme se dopracovali do call center a podobně,“ vysvětluje Golovanov.

Jak funguje odsávání peněz v režii GCMAN.
Autor: Kaspersky Lab

Jak funguje odsávání peněz v režii GCMAN.

Kolik tento trik s magickou kartou už banky stál? „Miliony dolarů,“ počítá Golovanov. Pro prolomení se do systémů se používají tradiční phishingové metody, kdy zaměstnancům přijde e-mail obsahující nakaženou přílohu. Objevují se ale také případy, kdy se do systémů podařilo vniknout skrze díru ve webovém serveru banky, díky nástrojům pro penetrační testy či pomocí běžných nástrojů – zejména PuTTY či skriptům napsaných v PowerShellu.

Útočníci v sítích také umí poměrně dlouho vyčkávat. Když infikují webový server, postupně se prokousávají k dalším a dalším systémům a na denní bázi hledají ty, které umožňují manipulaci s penězi. V sítích pak působí nepozorovaně řadu měsíců – stačí převádět menší částky.

Nabourat se do účtárny

Podobné triky jako je magic card používají také v korporacích. Hackeři cíleně napadají finanční, účetní či personální oddělení, tedy opět ta, která mají přístup k penězům. Z účtů a systémů velkých firem s hromadou transakcí se pak odčerpává snadněji. Pro získání informací a přístupů útočníci využívají i HR či obchodní cloudové služby. Hackerům se rovněž daří měnit registrační data o akcionářích.

Případy s magic card zatím aktuálně trápí jen méně známé banky v Rusku. Je nicméně pravděpodobné, že se pokusy o podobné aktivity postupně rozšíří do dalších zemí. Nový typ útoků už se objevil v první odhalené podobě skupiny Carbanak, která začala operovat z Ukrajiny a postupně „přeskákala“ do dalších oblastí. Dnes jde o mezinárodní uskupení. Napáchané škody mají dosahovat miliardy dolarů. Analytici nyní upozorňují na skupiny GCMAN a Metel.

Fungování nové verze systému Carbanak.
Autor: Kaspersky Lab

Fungování nové verze systému Carbanak.

Hackerské útoky na banky jsou už řadu let běžnou záležitostí, pouze se dále vyvíjejí. Finanční domy logicky výše ztrát a prolomení systémů nesdělují ani přehnaně nekomentují – nechtějí ohrozit důvěru zákazníků. Ztráty tak banky obvykle samy „lepí“ – lépe řečeno tak činí běžní klienti na základě bankovních poplatků. Odhady mluví o stovkách miliard dolarů ročně v rámci napáchaných škod.

Skupina kolem magic card a dalších nových aktivit v Rusku prozatím zůstává nedopadena. Pustit se do takového dobrodružství je ale v této zemi nemalým zahráváním si s ohněm. Lidé z ruského kybernetického prostředí, se kterými jsem měl možnost mluvit, říkají, že kyberkriminálníci, kteří z Ruska útočí na zahraniční subjekty, jsou domácími složkami tolerováni. Ovšem v případě útoků na ruské prostředí mohou počítat s velmi tvrdými postihy – pokud tedy jsou dopadeni. Šetření skupiny kolem magic card má nyní na základě zjištěných informací na starost ruská policie.

Česká kyberpolicie 2.0

I tak ale klienti ruských bank patří k častým cílům. Rusko je slušnou líhní kybernetických kovbojů a kriminálníků. „Máme dobré technické znalosti a navíc ne zase tolik pracovních míst. Hodně lidí hledá takzvané easy money,“ vysvětluje Golovanov.

Jedním z příkladů kybernetické kampaně, která byla vedena z Moskvy do zahraničí, je Dyreza (Dyre). Útoky se soustředily na klienty korporátních zákazníků velkých bank ve Spojených státech, Velké Británii a dalších zemích. Napadeny byly třeba systémy Bank of America či Barclays – ovšem žádná banka v Rusku. Během sedmi útoků bylo napadeno na 550 cílů. „Víme, o koho jde. Máme informace, přihlašovací údaje a tak dále, k odsouzení ale ještě nedošlo,“ řekl Lupě Peter Kruse z CSIS Security Group.

Počty případů kybernetické kriminality rychle rostou také v Česku. Útoky prostřednictvím phishingu jsou častou záležitostí, objevují se ale také skimmery pro klonování karet i pokročilejší a novější techniky. V roce 2014 se v Česku řešily kybernetické kauzy v hodnotě 1,2 miliardy korun.

Tuzemské případy se ročně počítají na několik tisíc. Česká policie proto ještě během jara zřídí novou skupinu pro kybernetickou kriminalitu spadající pod Útvar pro odhalování organizovaného zločinu (ÚOOZ). Letos má přijmout 92 nových kyberpolicistů a jejich celkový počet se brzy bude blížit dvěma stovkám. Kybernetický útvar na ÚOOZ bude rozdělený na dvě části. Jedna má pomáhat ostatním policejním složkám a ta druhá pak půjde přímo proti hackerům.

WT100

Do akce se zapojují také české vysoké školy, které zavádí obory pro kybernetickou bezpečnost. Třeba ten na Masarykově univerzitě kombinuje technologickou stránku s legislativní částí. Absolventi by pak mohli najít uplatnění právě ve státní sféře, kde se toto propojení hodí.

Cesta autora na konferenci Security Analysts Summit proběhla s finančním přispěním společnosti Kaspersky Lab.

Našli jste v článku chybu?