Kahe aasta jooksul ründas rahvusvaheline jõuk enam kui 30 riigis üle saja panga ning hollywoodilik skeem jättis pangad ilma miljardist dollarist.
Unikaalsete pangaröövide hollywoodilik skeem
Andmekaitsefirma Kaspersky on leidnud kinnituse 300 miljoni dollari vargusele, ent usub, et summa on tegelikult miljard, vahendab Securityweek. Skeemi taga tundub olevat grupp kurjategijaid Venemaalt, Ukrainast, Hiinast ja Euroopast. Kaspersky on andnud rühmale ka nime - «Carbanak.»
Rünnakud toimuvad siiani. Peamiselt keskenduti Venemaa pankadele, ent ohvriteks langesid ka Hollandi, USA, Šveitsi ja teiste riikide pangad.
Enamasti toimus küberrünnak ehk süsteemi nakatamine pahavaraga 2-4 kuud enne, kui kurjategijad varastatud rahaga minema pääsesid. Selle aja jooksul said kurjategijad ligipääsu õigetele inimestele ning süsteemidele, et röövi tegemiseks nende töövahendeid tundma õppida. Korraga rööviti kuni kümme miljonit dollarit – üks ettevõte jäi ilma 7,3 miljonist dollarist, teine aga kümnest.
Ründajad olid tuttavad finantssüsteemide tarkvara- ja turvasüsteemidega ning pahavara tegi kindlaks ka spetsialiseeritud või pangandustarkvara olemasolu arvutis.
«Ohvreid hakati jälgima alles siis, kui pangandustarkvara olemasolu arvutis oli tuvastatud,» selgitab raport.
Andmeturbefirma on teinud kindlaks, et rünnakud on toimunud 300 IP-aadressi vastu üle maailma.
Mõnel juhul said häkkerid kontrolli panga sularahaautomaatide võrgustiku üle, mida nad siis kasutasid sularaha väljavõtmiseks. Kurjategijad ei nakatanud sularahaautomaate pahavaraga, ent kasutasid masinate kontrollimiseks tavaprotsesse.
Pahavara saadi arvutisse «kalastamise» teel ehk e-maili teel toimuv rünnak on suunatud konkreetse organisatsiooni vastu ning sel moel otsiti konfidentsiaalset infot. Kirjaga kaasas olnud manused avasid ligipääsu arvutisse.
Seejärel installisid häkkerid arvutile Ammyy kaugjuhtimissüsteemi või murdsid sisse SSH serveritesse. Enamasti oli ligipääs Ammyy kaudu, kuna süsteemiadministraatoritel oli see lubatud programmide nimekirjas.
Esimesed rünnakud sisaldasid Carberp troojaviirust, mida müüdi aastal 2013 üsna soodsa hinnaga – 5000 dollarit, vahendas PCWorld. Varem samal aastal müüsid Carberp'i loojad kohaldatud pahavara hinnaga 40 000 dollarit. Hilisemad rünnakud enam Carberp'i pahavara koodi ei sisalda.
Ründajad olid seejärel võimelised ringi liikuma panga sisevõrgus ning said rahaülekandeid tegevate töötajate arvutid videojälgimise alla.
«Sel moel said küberkurjategijad ligi pangatöötajate tööle ning olid veatud võimelised nende tööd jäljendama, kui raha varastasid,» sedastab raport.
Pankade servereist leiti mitmeid videofaile. Samuti leiti Carbanaki kontrolli alt olevaist servereist tundlikku infot, näiteks salastatud e-maile, salasõnu ja muudki. Ühest serverist leiti ka kinnituskoode, mida sularahaautomaatide võrgustik kasutab sisestatud PIN-koodide autentsuse tuvastamiseks.
Kui häkkerid olid süsteemi sisse saanud, huvitasid neid rahaedastusprotsessid, kontod ning sularahaautomaatide süsteemid. Mõnel juhul kasutasid pangad SWIFT- võrgustikku, et raha enda kontole kanda. Teisel juhul manipuleeriti andmestikuga, et avada samas pangas makse- või deebetkaardikonto. Aeg-ajalt kasutati sularahaautomaate, kust raha siis üles korjati.
«Need pangavargused olid üllatavad, kuna kurjategijatel polnud vahet, mis tarkvara pangad kasutasid. Isegi, kui tarkvara on unikaalne, ei saa pank valvsust kaotada. Häkkerid ei saanud isegi ligipääsu pangateenustele – kui nad süsteemis sees olid,varjasid nad oma tegevuse legaalsete toimingute taha. Tegu oli kavaja ja professionaalse küberrööviga,» ütles Kaspersky juhtiv küberturvalisuse uurija Sergey Golovanov.