Ataki na wschodnioeuropejskie banki III Konferencja Naukowa Bezpieczeństwo Informacyjne w Obszarze Cyberprzestrzeni Akademia Marynarki Wojennej w Gdyni
O mnie Dorota Kulas Senior Red Team Analyst Gdynia Dorota Kulas Senior Red Team Analyst Absolwentka Politechniki Gdańskiej Ponad 15 lat w IT 6 lat w ITSec
Temat prelekcji Raport Trustwave SpiderLabs Post-Soviet Bank Heists: A Hybrid Cybercrime Study Analiza przeprowadzona przez Turstwave SpiderLabs Wizualizacja własna, hipotetyczne przykłady (“jak to mogło wyglądać”)
Przebieg wydarzeń W trzecim kwartale br zespół SpiderLabs przeprowadza śledztwo w sprawie serii włamań do banków w krajach postsowieckich Okazuje się, że z każdego z banków wykradziono sporą ilość pieniędzy (średnia: 5 milionów USD, zakres: 3-10 milionów USD) Środki wypłacane były z kont bankowych zwykłych (zdawało się) klientów za pomocą kart debetowych, z bankomatów zlokalizowanych poza krajem, w którym bank ma siedzibę W niektórych przypadkach banki zorientowały się, że padły ofiarą ataku, już po zakończeniu działań przez atakujących W kilku przypadkach banki zostały powiadomione o ataku przez instytucje płatnicze (centra rozliczeniowe / “pośredników kartowych”)
Co właściwie się stało? Adwersarze użyli “słupów”, którzy założyli konta w bankach z zerowych wkładem własnym i kartą debetową Karty zostały rozesłane poza granice kraju wydania Dokonano ataków na systemy IT banków, zmieniono parametry kart debetowych oraz zdezaktywowano mechanizmy obronne przeciw wyłudzeniom Kilka minut później dokonano masowych wypłat z bankomatów z użyciem kart debetowych W ciągu kilku godzin wyprowadzono z banków środki o wysokości około 40 milionów dolarów Overdraft – funkcja oferowana wybranym właścicielom kont – umożliwia wypłaty kartą debetową w wypadku braku dostępnych środków
Fazy ataku Źródło schematu: raport SpiderLabs [1]
Fizyczna faza ataku Źródło schematu: raport SpiderLabs [1]
Dostęp do sieci bankowej Źródło schematu: raport SpiderLabs [1]
Spear phishing – przykład materiały własne Uwaga: e-mail niezwiązany z omawianą kampanią; przykład z jednego ze zleceń biznesowych.
Dostęp do stacji roboczych pracowników przykład Uwaga: zrzut ekranu niezwiązany z omawianą kampanią; przykład pochodzi z bloga Cobalt Strike[2]
Przejęcie kontroli nad siecią i systemami banku oraz centrum rozliczeniowego Źródło schematu: raport SpiderLabs [1]
Od pracownika do pośrednika infrastruktura CR bank centrum rozliczeniowe administrator domeny pracownik banku
Od pracownika do pośrednika 4GB / miesiąc serwer umożliwiający zarządzanie kartami przez przeglądarkę Mipko: zrzut ekranu w celu demonstracji, pochodzi od producenta [3]
Godzina zero: działania w sieci Zmiana oceny ryzyka Włączenie możliwości przekroczenia limitu konta (overdraft / OD) Zmiana ustawień bądź wyłączenie mechanizmów przeciwdziałania wyłudzeniom (anti-fraud) Zmiana limitu OD z 0 USD do 25000-35000 USD Źródło schematu: raport SpiderLabs [1]
Godzina zero: działania w świecie Skoordynowane wypłaty gotówki (minuty po ataku w sieci) Bankomaty w Rosji i Europie, zlokalizowane w odludnych miejscach Brak kamer i ochrony w pobliżu* Bankomaty z wysokim limitem wypłat lub bez limitu Wypłaty w krajach poza siedzibami banku “Słupy” po wypłacie przekazywały środki dalej 5 godzin Źródło schematu: raport SpiderLabs [1]
Oprogramowanie użyte w czasie ataku
Zalecenia zespołu SpiderLabs Banki powinny przygotować procedurę reagowania na incydenty naruszenia bezpieczeństwa (IRP – Incident Response Plan) i regularnie ją testować (audyty, pentesty i symulacje zagrożeń – red teaming) Należy wdrożyć programy wykrywania i reakcji na zagrożenia (“threat hunting”) w celu jak najwcześniejszego wykrycia i zapobieżenia atakowi Ścisła współpraca pomiędzy bankiem a centrum rozliczeniowym Należy wprowadzić zasadę “dwóch par oczu” w procedurach bankowych (np. jedna osoba składa wniosek o zmianę parametrów karty, inna go zatwierdza) Nie należy używać jednakowego hasła lokalnego administratora na wszystkich komputerach w sieci Należy ograniczyć do minimum użycie konta administratora domeny
?
Bibliografia SpiderLabs Cobalt Strike https://blog.cobaltstrike.com/ https://www.trustwave.com/Resources/SpiderLabs-Blog/Post-Soviet-Bank-Heists--- A-Hybrid-Cybercrime-Study/ https://www2.trustwave.com/rs/815-RFM- 693/images/TW%20SpiderLabs%20Advanced%20Brief_Post- Soviet%20Bank%20Heists_PDF.pdf Cobalt Strike https://blog.cobaltstrike.com/ Mipko https://www.mipko.ru/employee-monitor/
Zapraszamy! https://www.x33fcon.com @x33fcon fb/x33fcon When Red meets Blue... II edycja konferencji związanej z bezpieczeństwem IT Gdynia, 7-11 maja 2018 Skoncentrowana wokół Blue/Red Teaming (obrona/atak) Międzynarodowi goście i trenerzy Zapraszamy! https://www.x33fcon.com @x33fcon fb/x33fcon