Банки атаковали через прямое подключение к локальной сети

В 2017-2018 годах специалисты «Лаборатории Касперского» были приглашены для изучения серии кибер-краж. У каждой атаки был общий трамплин: неизвестное устройство, напрямую подключенное к локальной сети компании. В некоторых случаях это был центральный офис, в других - региональный офис, иногда расположенный в другой стране. По крайней мере восемь банков в Восточной Европе были объектами атак (под общим названием DarkVishnya), которые нанесли ущерб, оцениваемый в десятки миллионов долларов.

Каждую атаку можно разделить на несколько этапов. На первом этапе киберпреступник вошел в здание организации под видом курьера или соискателя и т.д. А потом подключил устройство к локальной сети, например, в одной из комнат собраний. Там, где это было возможно, устройство было спрятано или смешано с окружением, чтобы не вызывать подозрений.

Устройства, используемые в атаках DarkVishnya, различались в зависимости от способностей киберпреступников и личных предпочтений. В случаях, которые исследовали  специалисты «Лаборатории Касперского», это был один из трех инструментов: нетбук или недорогой ноутбук; Компьютер Raspberry Pi; Bash Bunny, специальный инструмент для проведения USB-атак.

Внутри локальной сети устройство появилось как неизвестный компьютер, внешняя флешка или даже клавиатура. В сочетании с тем, что Bash Bunny по размеру сопоставим с USB-флешкой, это серьезно усложнило поиск точки входа. Удаленный доступ к установленному устройству осуществлялся через встроенный или подключенный через USB модем GPRS / 3G / LTE.

На втором этапе злоумышленники удаленно подключаются к устройству и сканируют локальную сеть, стремясь получить доступ к общедоступным общим папкам, веб-серверам и любым другим открытым ресурсам. Цель состояла в сборе информации о сети, прежде всего о серверах и рабочих станциях, используемых для осуществления платежей. В то же время злоумышленники пытались перебором данных или перехватывать данные для входа на такие машины. Чтобы преодолеть ограничения брандмауэра, они установили шелл-коды с локальными TCP-серверами. Если брандмауэр заблокировал доступ из одного сегмента сети в другой, но разрешил обратное соединение, злоумышленники использовали другую полезную нагрузку для создания туннелей.

После этого киберпреступники перешли к третьему этапу. Здесь они вошли в целевую систему и использовали программное обеспечение удаленного доступа для сохранения доступа. Далее вредоносные сервисы, созданные с помощью msfvenom, запускались на скомпрометированном компьютере. Поскольку хакеры использовали атаки без файлов  и PowerShell, им удалось избежать технологий белых списков и политик домена. Если они сталкивались с белым списком, который нельзя было обойти, или PowerShell был заблокирован на целевом компьютере, киберпреступники использовали impacket и winexesvc.exe или psexec.exe для удаленного запуска исполняемых файлов.

Подробнее: https://securelist.com/darkvishnya/89169/