Decine di milioni di dollari sottrati ad almeno otto banche dell’est Europa, attraverso attacchi che presentano modalità del tutto simili a quelle solitamente raccontate nelle pellicole hollywoodiane. È quanto emerso dalle indagini condotte da Kaspersky Lab e relative ad alcuni istituti del vecchio continente colpiti da cybercriminali.
DarkVishnya
DarkVishnya, così il team di Kaspersky Lab ha battezzato questo tipo di operazioni, che si strutturano in diverse fasi. Nella prima qualcuno accede fisicamente alla sede centrale della banca o a uno dei suoi uffici, magari camuffandosi da corriere per le consegne, personale addetto alle pulizie o dipendente, per poi collegare un dispositivo fisico alla rete locale oppure a uno dei computer del gruppo. L’apparecchio viene ovviamente nascosto in modo da non destare sospetti: uno dei punti più vulnerabili, stando a quanto si legge, è costituito dalle porte di connessione (Ethernet o USB) presenti sui tavoli per i meeting.
Tre le tipologie di device impiegate per portare a termine l’attacco: un laptop di piccole dimensioni (qualcuno ricorda i netbook?), un hardware personalizzato basandosi sulla scheda Raspberry Pi oppure un’unità USB come Bash Bunny progettata appositamente per questo tipo di operazioni.
Attacco alle banche
Nella seconda fase da remoto si accede al device attraverso connessioni GPRS, 3G o LTE, effettuando una scansione della rete locale alla ricerca di cartelle condivise, server o qualsiasi altra risorsa dalla quale sottrarre informazioni in merito al network, comprese le modalità operative dei sistemi impiegati per effettuare i pagamenti. Al tempo stesso, i responsabili dell’attacco sperimentano l’efficacia dei metodi impiegati per aggirare le limitazioni imposte dai firewall e attraverso attacchi brute force cercano di effettuare il login alle macchine. Infine, viene avviata l’esecuzione di codice malevolo (scritto con MSFVenom) così da prendere il controllo dei terminali dedicati al trasferimento dei fondi.
Anche i gruppi in cui i problemi legati alla sicurezza vengono considerati in modo serio, non è impossibile installare uno di questi dispositivi. Corrieri, candidati in cerca di lavoro, rappresentanti, clienti e partner spesso sono autorizzati ad accedere agli uffici, dunque un malintenzionato può provare ad assumerne l’identità.
Così Nikolay Pankov di Kaskerpsky Lab ha commentato l’esito delle indagini condotte. Per ovvi motivi il report non include i nomi degli istituti bancari colpiti dagli attacchi, né l’ammontare preciso delle somme sottrate attraverso il metodo descritto.
Ti potrebbe interessare
10 dic 2018