DarkVishnya. «Կասպերսկի Լաբորատորիա»-ն գրանցել է Արևելյան Եվրոպայի բանկերի վրա գրոհների նոր տեսակ

«Կասպերսկի Լաբորատորիա»-ի փորձագետները 2017-2018 թվականներին ներգրավվել են բանկերի մի քանի կիբեռկողոպուտների հետաքննությանը, որոնց ընթացքում վնասաբեր ծրագրային ապահովումը (ԾԱ) կորպորատիվ ցանց էր ներթափանցել չարագործների «թողած» անհայտ սարքից։ Հետագայում նման գրոհներն ստացան DarkVishnya անվանումը։ Ներկայումս հայտնի է Արևելյան Եվրոպայի առնվազն ութ բանկերի մասին, որոնք թալանվել են նման կերպ, իսկ տեղի ունեցած միջադեպերից վնասը կազմել է մի քանի տասնյակ միլիոն դոլար։ Յուրաքանչյուր գրանցված դեպքում գրոհը սկսելու համար կիբեռհանցագործները «գաղտնաբար թողնում էին» իրենց սարքը կազմակերպության շենքում և ֆիզիկապես միացնում ընկերության կորպորատիվ ցանցին։ «Կասպերսկի Լաբորատորիա»-ի մասնագետների տվյալներով՝ չարագործները կիրառում էին երեք տեսակի սարքեր՝ նոութբուք (որպես կանոն՝ ոչ թանկ նեթբուք), Raspberry Pi (վարկային քարտի չափ ունեցող մեկ պլատայով համակարգիչ) և Bash Bunny (հատուկ USB-գրոհների ավտոմատացման և անցկացման համար մշակված գործիք)։ Դրանք կարող էին նաև լրացուցիչ սարքավորված լինել GPRS-, 3G- կամ LTE-մոդեմով, որպեսզի ապահովեն կազմակերպության կորպորատիվ ցանց հեռավար ներթափանցումը։ Գրոհների ընթացքում կիբեռհանցագործները փորձել են հասանելիություն ստանալ ընդհանուր ցանցային պանակներին, վեբ-սերվերներին և այդպես շարունակ։ Նրանք գողացած տվյալներն օգտագործում էին այն սերվերներին և աշխատանքային կայաններին միանալու համար, որոնք նախատեսված էին վճարումների իրականացման համար կամ պարունակում էին չարագործների համար օգտակար այլ տեղեկատվություն։ Ֆինանսական հաստատության ենթակառուցվածքում հաջող ամրապնդվելուց հետո չարագործները կիրառել են հեռավար կառավարման օրինական ԾԱ։ Քանի որ կիբեռհանցագործները կիրառում էին անֆայլ մեթոդներ և PowerShell, նրանք շրջանցում էին սպիտակ ցուցակները և դոմենների քաղաքականությունները։ Չարագործների օգտագործած այլ գործիքներն էին Impacket-ը, ինչպես նաև winexesvc.exe-ն կամ psexec.exe-ն, որոնք կիրառվում են կատարվող ֆայլերը հեռավար գործարկելու համար։ Այնուհետև փողերը դուրս էին բերվում, օրինակ, բանկոմատների միջոցով։ «Վերջին մեկ ու կես տարվա ընթացքում դիտարկել ենք բանկերի վրա գրոհների սկզբունքորեն նոր տեսակ, որը բավական հնարամիտ է և բարդ կիբեռհանցագործների հայտնաբերման առումով։ Որպես կանոն՝ DarkVishnya գործողություններում կորպորատիվ ցանց մուտքի կետը երկար ժամանակ անհայտ էր մնում, որովհետև այն կարող էր գտնվել ցանկացած տարածաշրջանում և նույնիսկ երկրում տեղակայված ցանկացած գրասենյակում։ Իսկ չարագործների թողած և թաքցրած անհայտ սարքը որևէ կերպ հնարավոր չէր գտնել հեռավար եղանակով։ Որոնումը բարդանում էր այն հանգամանքով, որ գրոհների ընթացքում կիրառվում էին ստանդարտ ուտիլիտներ,- նշել է «Կասպերսկի Լաբորատորիա»-ի հակավիրուսային առաջատար փորձագետ Սերգեյ Գոլովանովը։- Թվային կողոպուտների այդ անսովոր սխեմայից պաշտպանվելու համար մենք ֆինանսական կազմակերպություններին խորհուրդ ենք տալիս չափազանց մեծ պատասխանատվությամբ վերաբերվել կիբեռանվտանգությանը, մասնավորապես, հատուկ ուշադրություն դարձնել միացվող սարքերի և կորպորատիվ ցանց հասանելիության հսկողությանը»։ «Կասպերսկի Լաբորատորիա»-ն կիբեռանվտանգության ապահովման համար ֆինանսական կազմակերպություններին խորհուրդ է տալիս կիրառել պաշտպանական լուծումներ, որոնք ունեն ցանցին հասանելիության հսկողության համակարգ (Network Access Control) և սարքերի հսկողության գործառույթ (Device Control), օրինակ, Բիզնեսի համար Kaspersky Endpoint Security։