APT Carbanak, la Grande Cyber-Rapina Bancaria

La storia di Carbanak ha avuto inizio quando una banca ukraina ha richiesto il nostro aiuto per la conduzione di un'indagine di tipo forense. Di fatto, veniva misteriosamente sottratto denaro dagli apparecchi bancomat. Inizialmente, abbiamo ritenuto potesse trattarsi del malware Tyupkin. Tuttavia, investigando sull'hard disk del sistema bancomat non abbiamo individuato null'altro se non una configurazione VPN piuttosto strana (la maschera di rete risultava impostata su 172.0.0.0).

Pensavamo, in quel momento, di essere semplicemente di fronte ad un altro attacco malware. Non potevamo certo immaginare, allora, che alcuni mesi più tardi uno dei nostri colleghi avrebbe ricevuto una telefonata alle 3 di mattina, nel bel mezzo della notte. La telefonata proveniva da un account manager, il quale ci chiedeva, a sua volta, di chiamare un certo numero, con particolare urgenza. La persona all'altro capo del filo, da noi subito contattata, era il CSO di una banca russa. Uno dei loro sistemi di sicurezza aveva in effetti segnalato un'allerta: di fatto, dal Domain Controller della banca in questione venivano inviati dati sensibili verso la Repubblica Popolare Cinese.

Una volta giunti sul posto siamo stati in grado di scovare rapidamente il malware presente nel sistema. In pratica, abbiamo compilato uno script batch che ha rimosso il malware da un PC infetto; tale script è stato poi eseguito su tutti i computer della banca. L'operazione è stata ripetuta molteplici volte, finché non siamo stati del tutto sicuri che tutte le macchine fossero effettivamente "pulite". Ovviamente, nella circostanza, sono stati salvati dei sample del malware rilevato; analizzando tali campioni ci siamo così imbattuti, per la prima volta, nel malware Carbanak.

Modus Operandi

Un'ulteriore analisi forense ci ha condotto sino al punto dell'infezione iniziale: un'e-mail di spear phishing contenente un allegato con estensione CPL. Ricordiamo, a tal proposito, come in altri casi fossero stati usati documenti Word volti a sfruttare note vulnerabilità. In sostanza, dopo aver eseguito lo shellcode, all'interno del sistema viene installata una backdoor basata su Carberp. Questa backdoor, di fatto, è ciò che noi oggi conosciamo come Carbanak. Si tratta di un malware appositamente progettato per compiere operazioni di spionaggio, eseguire il processo di esfiltrazione dei dati e condurre attività di controllo remoto. 

Una volta che gli attaccanti sono penetrati all'interno della rete-vittima, essi effettuano una sorta di ricognizione manuale, con il preciso intento di compromettere computer di particolare rilevanza (come, ad esempio, quelli degli amministratori), e si avvalgono, nell'occasione, di strumenti di supporto, quali specifici tool di "lateral movement". In pratica, una volta ottenuto l'accesso, gli aggressori "scorrazzano" per tutta la rete, finché non trovano il loro punto di interesse. La natura di tale punto di interesse può variare, ovviamente, a seconda dello specifico attacco eseguito. L'elemento in comune, ad ogni caso, in tutti gli attacchi effettuati, è rappresentato dal fatto che da questo "punto" risulta poi possibile sottrarre denaro dall'entità infetta.

La gang cybercriminale che si cela dietro al malware Carbanak non è necessariamente a conoscenza - in forma preventiva - dei meccanismi che regolano il funzionamento interno di ogni banca presa di mira, visto che tali meccanismi variano, ovviamente, a seconda dell'istituto bancario. Pertanto, per comprendere le modalità operative di ogni singola banca sono stati utilizzati computer infetti per registrare dei video, in seguito inviati ai server di Comando e Controllo. Anche se la qualità di tali video appare relativamente scarsa, essi si sono rivelati del tutto sufficienti, per gli attaccanti - armati, oltretutto, di dati ottenuti mediante keylogging, relativi alla specifica macchina presa di mira - per capire cosa stesse effettivamente facendo la vittima designata. Tutto ciò ha quindi fornito ai malintenzionati le conoscenze necessarie per poter "incassare" illecitamente il denaro.

Le procedure di "incasso"

Nel corso dell'indagine da noi svolta, abbiamo individuato diverse modalità utilizzate dai cybercriminali per procedere all'incasso delle somme sottratte.

Innanzitutto gli apparecchi bancomat ricevevano istruzioni da remoto per dispensare contanti, senza che ci fosse in alcun modo bisogno di interagire con il bancomat stesso; il denaro contante così sottratto veniva poi fisicamente prelevato dai cosiddetti "muli"; si utilizzava la rete SWIFT per trasferire le somme di denaro al di fuori dell'organizzazione e sui conti bancari posseduti dai criminali; inoltre, venivano alterati i database contenenti le informazioni relative agli account, in maniera tale da poter creare account fasulli provvisti di un saldo relativamente elevato, con tanto di utilizzo dei servizi resi dai muli per procedere alla raccolta del denaro rubato.

Infezioni e perdite registrate

Sin da quando abbiamo iniziato a condurre indagini su questa estesa campagna criminale abbiamo operato a stretto contatto con le forze di cyberpolizia e gli organi competenti preposti ad investigare sulle attività illecite svolte dal gruppo Carbanak. I risultati della cooperazione intrapresa hanno permesso di determinare che, complessivamente, sono state colpite fino a 100 istituzioni finanziarie. Almeno nella metà dei casi verificatisi i cybercriminali sono stati in grado di sottrarre cospicue somme di denaro dagli istituti bancari sottoposti ad attacco. Per ogni banca presa di mira si sono registrate perdite da 2,5 a circa 10 milioni di dollari USA. Tuttavia, secondo le informazioni fornite dalle forze dell'ordine e dalle stesse vittime, le perdite finanziarie complessivamente subite potrebbero addirittura ammontare ad 1 miliardo di dollari, rendendo quindi Carbanak, di gran lunga, la campagna cybercriminale di maggior successo sinora mai vista.

La nostra indagine è iniziata in Ukraina, per poi trasferirsi a Mosca; la maggior parte delle vittime è risultata essere ubicata proprio nell'Europa Orientale. Ad ogni caso, grazie ai dati elaborati attraverso il KSN e ai dati ottenuti direttamente dai server di Comando e Controllo, abbiamo potuto stabilire che Carbanak prende ugualmente di mira entità situate negli USA, in Germania e in Cina. Attualmente, il gruppo cybercriminale in questione sta comunque espandendo le proprie attività in nuove aree geografiche. Tali zone comprendono, tra l'altro, Malaysia, Nepal, Kuwait e numerose regioni del continente africano.

Per una descrizione completa della campagna, degli IOC, ed un elenco delle infezioni registrate, si prega di consultare il nostro report.

Per controllare l’eventuale presenza di Carbanak all’interno della vostra rete, potete ugualmente utilizzare il file open IOC qui disponibile.

-----------------------------------------------------------------------------------------------------------------------------

FAQ

                              
Che cos'è Carbanak?
Carbanak è il nome da noi utilizzato per una campagna in stile APT, la quale prende di mira le istituzioni finanziarie (non limitandosi, tuttavia, solo a queste). La differenza principale, rispetto agli altri attacchi APT, è che gli attaccanti non considerano i dati, bensì il denaro come loro obiettivo primario. Carbanak viene quindi ricondotta alle temibili APT, ma l'attacco informatico condotto non può essere definito, in senso stretto, di tipo Avanzato. Il termine più appropriato, per definire le attività svolte dagli aggressori, è piuttosto quello di Persistenza.
La backdoor è stata denominata Carbanak in quanto tale malware si basa su Carberp, ed il nome del file di configurazione è "anak.cfg".

Quali sono gli scopi malevoli di questa campagna?
Gli attaccanti si infiltrano all'interno della rete-vittima alla ricerca del sistema critico che può essere da essi utilizzato per "incassare" illecitamente il denaro. Una volta che hanno sottratto una notevole somma di denaro (dai 2,5 ai 10 milioni di dollari USD per ogni entità sottoposta ad attacco), i cybercriminali abbandonano il terreno.

 
Perché ritenete che si tratti di una minaccia rilevante e significativa?
Le entità bancarie hanno sempre rappresentato un target primario per i criminali informatici. Tuttavia, gli attacchi condotti da questi ultimi riguardavano quasi sempre i clienti degli istituti bancari. Stavolta gli aggressori stanno bersagliando direttamente le entità finanziarie, mediante la conduzione di un attacco senza precedenti, determinato, altamente professionale e ben coordinato; i malintenzionati, inoltre, si avvalgono di numerosi mezzi e strumenti, con il preciso obiettivo di carpire la maggior quantità di denaro possibile, sino al raggiungimento di un limite, apparentemente auto-imposto.

 
Potete fornire spiegazioni in merito alla timeline della campagna?
Secondo quanto sappiamo, i primi sample maligni sono stati compilati nel mese di agosto 2013, quando i cybercriminali hanno iniziato a testare il malware Carbanak. Le prime infezioni sono state poi rilevate nel mese di dicembre 2013.
In media, ogni cyber-rapina bancaria si è svolta in un arco di tempo oscillante tra i due e i quattro mesi, dal momento in cui è stato infettato il primo computer all'interno della rete aziendale della banca presa di mira sino al momento in cui i cybercriminali hanno poi proceduto al prelievo illecito delle ingenti somme di denaro sottratte.
Riteniamo che i primi furti eseguiti con successo da parte della gang in causa, a danno delle prime vittime, siano avvenuti nel periodo febbraio-aprile 2014. Il picco delle infezioni si è registrato nel mese di giugno 2014.
Al momento attuale, il gruppo Carbanak risulta essere ancora attivo.

Perché fino adesso non avete reso pubblici i dettagli raccolti?
Sin dal momento in cui abbiamo iniziato a lavorare su tale campagna abbiamo collaborato con varie agenzie di cyberpolizia coinvolte nelle indagini, fornendo alle stesse il nostro aiuto nella maggior misura possibile. Visto che le indagini sono tuttora in corso, ci è stato richiesto di non condividere nessun dettaglio finché non fosse stato sicuro far ciò.

Siete entrati in contatto con le vittime ed i Computer Emergency Response Team (CERT) operanti in quei paesi in cui sono stati rilevati, da parte vostra, gli incidenti informatici?

Sì, le indagini hanno assunto la forma di un'operazione congiunta tra il Global Research and Analysis Team di Kaspersky Lab ed organizzazioni internazionali, forze di cyberpolizia operanti su scala nazionale e regionale, così come vari Computer Emergency Response Team (CERT) dislocati in tutto il mondo.
Uno dei nostri principali obiettivi è stato quello di diffondere le nostre conoscenze in merito alla campagna criminale in atto ed ai relativi IOC (Indicators of Compromise) fra tutte le vittime individuate e le vittime potenziali. Ci siamo avvalsi, in qualità di canali di distribuzione, dei CERT e delle agenzie nazionali.

In che modo avete contribuito alle indagini?
Il nostro contributo consiste nel fornire assistenza per ciò che riguarda la conduzione delle indagini, così come nel mettere in atto contromisure volte ad impedire la continuazione delle operazioni malware e quindi a smantellare le attività cybercriminali. Nel corso delle investigazioni mettiamo a disposizione le nostre competenze tecniche, analizzando i vettori di infezione, i programmi maligni, le infrastrutture malevole di Comando & Controllo, così come i relativi metodi di utilizzazione.

Come è stato distribuito il malware?
Gli attaccanti hanno fatto uso di e-mail di spear phishing contenenti allegati dannosi, indirizzate a dipendenti e funzionari degli istituti finanziari presi di mira; in alcuni casi, le e-mail malevole sono state persino inviate agli indirizzi e-mail personali. Riteniamo che gli aggressori abbiano ugualmente utilizzato attacchi di tipo drive by download, ma questa seconda ipotesi non è ancora confermata al 100%.

 
Qual è l'impatto potenziale per le vittime?
Sulla base delle somme effettivamente sottratte, sinora, alle vittime di Carbanak, una nuova vittima del famigerato malware potrebbe subire potenziali perdite sino ad un valore di 10 milioni di dollari. Si tratta, ad ogni caso, di una cifra arbitraria, basata su quanto sappiamo fino adesso: di fatto, nessun elemento sembra limitare le potenziali perdite, una volta che un istituto viene infettato dal malware in questione.

 
Chi sono le vittime? Quali sono le dimensioni dell'attacco?
Le vittime sono principalmente istituti ed entità operanti nel settore finanziario; sono state tuttavia da noi rilevate tracce di infezioni anche a livello di terminali POS e di agenzie di PR. Per comprendere ancor meglio la portata dell'attacco si prega di consultare i vari grafici e le varie mappe disponibili all'interno del nostro report.

Come avviene per molte campagne cybercriminali, il malware viene sottoposto ad analisi da parte di diverse società e numerosi privati; questo, ovviamente, genera varie richieste al server di Comando e Controllo. Se analizziamo tali server, tutto ciò che vediamo sono gli IP, ed eventualmente alcune informazioni aggiuntive. Quando le informazioni supplementari non risultano presenti, e quando l'indirizzo IP non può essere ricondotto al suo proprietario, provvediamo a contrassegnare ciò come un'infezione.

Sulla base di tale approccio la nostra analisi ha permesso di giungere alla conclusione che la Russia, gli USA, la Germania e la Cina rappresentano, di fatto, i paesi maggiormente colpiti.
Come vengono protetti gli utenti corporate nei confronti di questo tipo di attacco? Kaspersky Lab protegge i propri utenti?

Sì, noi rileviamo i sample del malware Carbanak come Backdoor.Win32.Carbanak e Backdoor.Win32.CarbanakCmd.

Tutti i prodotti e le soluzioni corporate di Kaspersky Lab rilevano i sample di Carbanak conosciuti. Per innalzare il livello di protezione, si raccomanda di attivare il Modulo di Difesa Proattiva di Kaspersky, incluso in ognuno degli attuali prodotti e soluzioni di sicurezza IT.        

Riteniamo ugualmente di particolare importanza ed utilità fornirvi alcune raccomandazioni di carattere generale:

• Non aprite in alcun modo le e-mail sospette, soprattutto se le stesse presentano un allegato;
• Aggiornate il vostro software (nel corso di questa campagna non è stato fatto uso di 0-day);
• Attivate l'euristica nelle vostre suite di sicurezza; è più probabile, in tal modo, che nuovi sample del genere vengano rilevati e neutralizzati sin dalle prime battute.