Clever Geek Handbook

クライアントバンクまたはハントを100万回攻撃する

現代人では、悪意のあるソフトウェア全体が「ウイルス」という言葉で説明されています。 ただし、古典的な意味でのウイルス(自己複製を主な特徴とする)は、長い間、コンピューターの脅威のランキングで主導的な地位を占めていませんでした。 ワームとトロイの木馬が最初に登場しました-お金(悪名高いTrojan.WinlockerとTrojan.Ransom)を強要し、ユーザー情報(送信先のパスワードと連絡先リスト)を収集して、大量のお金を盗むことができます被害者の知識がなくても(また、単純なユーザーでも、大企業や銀行でもかまいません)。



明らかに、攻撃者は娯楽のために悪意のあるコードを書くことはありません。10代のハッカーが地元の学校のネットワークを破壊するというイメージは過去のものです。 現在、サイバー犯罪は巨大で非常に飽和したシャドウマーケットであり、売り上げが大きく、日々成長しています。





状況の規模を評価することは困難です。「マルウェア」、「詐欺師」、天文学的な金額にますます言及するニュースフィードによってのみ判断されることが残っています。 しかし、このアプローチでさえ完全な状況を示していません-ほとんどの場合の情報は一般の人々がアクセスできないままです(ロシア連邦の法律の不備により、個人データ漏洩の場合に会社に情報を開示する義務はありません)。 報道機関の情報がめったに詳述されず、詳細を特定せずに一般的な用語でインシデントを説明していることを理解することは価値があります。 以下に説明する事件は、ロシアの会社の1つで最近発生しました。ロシアの会社の代表者は、情報セキュリティソリューションの開発者として、事件と共有情報の調査を支援するように要請しました。



私はシステム管理者と話をすることができました。彼の会社は、幸運な事故のおかげで、100万ルーブルを失いませんでした。 明らかな理由により、システム管理者は匿名のままにすることを選択しました。



目的-銀行クライアント



この場合、最大手の銀行の1つであるモスクワの会社はほとんど被害者になりました。 攻撃者がこの特定の会社に興味を持った理由は、銀行が提供する銀行サービス(リモート銀行サービス)の使用でした。 会社のコンピューター艦隊のマシンの1つから、世銀のRBSのサービスへの定期的なアクセスが提供され、攻撃されたのはこのコンピューターでした。



(ちなみに、有名なメーカーの)システムにウイルス対策がインストールされているにもかかわらず、悪意のあるコードは障害なく実装および実行されました。 これは、標的型攻撃やゼロデイ脅威への対処における署名の失敗の顕著な例です。



攻撃の日付が選ばれたことは偶然ではありませんでした。すべてが12月29日、実際には新年の直前に起こりました。 攻撃者が計画を実行できた場合、少なくとも10日間は損失に気付かなかったでしょう。



攻撃シナリオ



残念ながら、悪意のあるアプリケーションが攻撃されたマシンにどのように侵入したかを知ることはできませんでした。 しかし、ある程度の確実性を持っていれば、インサイダーの行動がなければ、ビジネスは成し遂げられなかったと言えます。 確認の1つは、ウイルス対策ソフトウェアによって認識されなかった(したがって、ウイルス対策データベースにない)一意の悪意のあるコードです。 大量攻撃であれば、彼らはすぐに気づかれ、マルウェアの署名がほぼ翌日に基地に持ち込まれ、その後攻撃者の計画は失敗したでしょう。



したがって、この会社によるRBSの使用に関する情報、おおよその金額、さらには会社で使用されている情報セキュリティツールさえ持っている人がいたはずです。



インサイダーがこのインシデントに参加する可能性を考えると、マルウェアは何らかの方法でシステムに侵入する可能性があります-信頼できる送信者から電子メールで送信されるか、会社のクライアントの1人がUSBフラッシュドライブに持ち込むか、マシンによって手動でインサイダーが起動することもあります。



このトロイの木馬は、リモートで制御されるか、自律的に動作する悪意のあることが判明しました。 トロイの木馬が次のシナリオに従って動作したことのみが知られています。

•キーがシステムに接続されるのを待っています(外部メディアにある銀行によって発行された証明書)

•キー読み取り

•RBSにアクセスするためのログインとパスワードを読み取る

•クラッカーのアカウントへの送金のリクエスト-約100万ルーブルを引き出す試みがありました(バッテリー寿命の場合、すべてのデータを攻撃者に送信するだけです)

•kill.exeと呼ばれるアプリケーションをダウンロードします。これにより、非常に無作法なマルウェアの痕跡が破壊され、システム全体が殺されます(システムが読み取ろうとしたときに、アプリケーションがドライバディレクトリにファイルを作成し、クラッシュしました)



攻撃されたマシンがクラッシュした後にのみ、攻撃者のアクションの痕跡を検出でき、プロキシサーバーに残ったログによってのみ検出できました。 偶然の事故によって会社が多額のお金を失うのを防いだ。攻撃者は会社の従業員に給与が支払われていたため、口座にない一定の金額を引き出しようとした。



世界は何回言われた



この事件は、サイバー犯罪の歴史の最初ではなく、最後ではありません。 会社の財政を救った事故は、確立された状況のみです。 システム管理者によると、別のパートナー企業が詐欺師の被害者となり、アカウントから6倍のお金を奪いました。 彼らは、調査の成功の結果を期待することしかできません。


More articles:


All Articles