DarkVishnya: атаки срещу източноевропейски банки с физически достъп
Щетите се оценяват на десетки милиони долари
Последен ъпдейт на 3 януари 2019 в 02:35 ч.
Поне 8 банки в Източна Европа са станали жертва на хакерска атака, достойна за сюжет на филм. Неизвестни засега хакери са успели да получат физически достъп до банковите клонове и да свържат зловредни устройства към техните мрежи, показват резултатите от проучване на Kaspersky.
Обикновено хакерите атакуват финансови институции от разстояние: например чрез имейли, които заразяват компютрите в банката с малуер. Пробиви чрез физически достъп се случват рядко, тъй като банките имат затегната политика за сигурност.
Пробив под прикритие
Но организаторите на атаките, обединени под името DarkVishnya, са направили точно това. В периода между 2017 и 2018 г. те са успели да влязат в офиси на осемте набелязани банки. Как са били допуснати вътре не е ясно: възможно е например да са се представили за куриери или кандидати за работа.
Целта на посещението им е била да свържат зловредно устройство към локалната мрежа на банката. Според Kaspersky са изполвани три вида устройства: лаптоп, Raspberry Pi или Bash Bunny(специална флашка за тестване на информацинни системи).
Всяко от тези устройства е било включено в мрежата на набелязания офис: обикноено чрез етернет кабел или USB порт. Достатъчно е било това да стане по дискретен начин, така че никой след това да не забележи новото свързано устройство.
Рисковано, но възможно
„Дори и в компании, в които на сигурността се гледа сериозно, инсталирането на такова устройство не е невъзможно. Куриери, кандидати за работа и представители на клиенти често се допускат в офисите на банките. Хакерите могат да се представят за някой от тях и така да получат достъп“, коментират от Kaspersky.
В повечето офиси има достатъчно портове за етернет кабели, които могат да се използват. Необходимо е само зловредното устройство да се скрие добре, така че да не се вижда и буди съмнение.
Щети за десетки милиони
След като устройството е свързано, хакерите са го достъпвали от разстояние и са сканирали цялата вътрешна мрежа, търсейки узявими точки на достъп, споделени папки, уеб сървъри и други информационни ресурси. Целта им е била да съберат информация за сървърите и работните станции, с които се извършват разплащания.
Вече получили достъп до мрежата, те са започнали да управляват от разстояние компрометираните устройства. Според Kaspersky това е довело до загуби от порядъка на „десетки милиони долари“ за засегнатите банки. От компанията коментират още, че на практика всеки голям бизнес може да стане жертва на атака от типа на DarkVishnya.
Съвети за системни администратори
От Kaspersky предлагат следните съвети за предотвратяване на подобни инциденти.
- Изключете от мрежата всички етернет портове, които не използвате. Ако това не е възможно ги изолирайте в отделен сегмент от локалната мрежа;
- Инсталирайте етернет гнезда само на места, които са в обхвата на камерите за видеонаблюдение;
- Използвайте софтуерни решения за управление на достъпа до информационни ресурси;