Carberp

Carberp  je trojský kůň a stejnojmenná skupina hackerů. V roce 2013 Kaspersky.ru zařadil tohoto trojského koně do „Magnificent Four Banking Trojans“ [1] .

Historie vytvoření

Trojan Carberp byl vytvořen v roce 2011 bratry z Moskvy za účelem krádeže důvěrných informací a provádění podvodných aktivit v bankovním sektoru v Rusku. Podle ministerstva vnitra byla zločinecká skupina vytvořena s cílem získat přístup k osobním počítačům používaným pro práci se systémy Bank-Client prostřednictvím škodlivého softwaru [2] .

Zločinci se pomocí trojského koně připojili k osobním počítačům, díky čemuž převáděli finanční prostředky na předem připravené účty. Carberp přenesl informace na speciální server, který spravuje trojského koně.

Carberp napadl banky v Rusku a na Ukrajině [3] .

Princip zavádění škodlivého kódu

Při analýze jednoho z Carberpových dropperů byla objevena technika pro vkládání škodlivého kódu do důvěryhodných procesů Windows na základě kódu Power Loader [4] . Nejprve kapátko otevře jednu z veřejných sekcí a poté zapíše shell kód na konec kterékoli z nich. Dále kapátko funguje podle schématu Gapz s některými změnami v kódu. Posledním krokem je vložení škodlivého kódu do procesu explorer.exe, který je považován za důvěryhodný. To se provádí za účelem obcházení antivirových programů a provádění akcí, které trojský kůň potřebuje jako důvěryhodný proces [5] .

Zásuvné moduly dodávané s trojským koněm odstranily antivirové programy z infikovaného systému a také odstranily stopy činnosti trojského koně. Následně trojský kůň začal používat šifrování jím přenášených informací [1] .

Cnews shrnul akce Carberp Trojan [ 3] takto:

Carberp také využívá 4 zranitelnosti v operačních systémech rodiny Windows ke zvýšení uživatelských oprávnění, což mu umožňuje krást finanční prostředky i z těch počítačů v podnikové síti, které mají přístup k RBS, ale nemají práva správce. Carberp je navíc schopen zkombinovat infikované počítače do botnetu se stovkami tisíc počítačů.

Úprava bankovního softwaru

Carberp upravuje Java Virtual Machine . Provádí změny bankovního softwaru napsaného v Javě pomocí knihovny Javassist, která je schopna spravovat spustitelný soubor Java bytecode ("za běhu"). Trojan Carberp používá tuto metodu k útoku na systém online bankovnictví BIFIT iBank 2. Poté, co klient na infikovaném počítači použije iBank 2, kód začne načítat doplněk AgentX.jar a poté se spustí knihovna Javassist. Java/Spy.Banker [5] slouží k rychlé úpravě platebních dokladů .

Po přidání všech nezbytných změn do iBank2 budou mít útočníci plnou kontrolu nad všemi platbami provedenými prostřednictvím tohoto bankovního softwaru. IBank2 společnosti BIFIT nekontroluje integritu svého kódu, takže únik informací o peněžních transakcích se stává nekontrolovatelným. Všechny platební transakce procházejí útočníky, kteří ovládají trojského koně Carberp. Analytici navíc poznamenávají, že modul Java/Spy.Banker je schopen obejít systémy dvoufaktorové autentizace pomocí jednorázových hesel [5] .

Zachycení kyberzločinců

Od začátku listopadu 2010 pracuje ruské ministerstvo vnitra společně s Federální bezpečnostní službou a skupinou IB na dopadení kyberzločinců. V lednu 2011 vyšetřovatelé identifikovali šéfa kyberzločinecké skupiny. V průběhu roku se jim podařilo identifikovat dalších sedm jeho kompliců. Všichni byli zatčeni. Zločinci ukradli více než 60 milionů rublů a asi 2 miliony dolarů [6] .

19. března 2013 se bezpečnostní službě Ukrajiny podařilo díky spolupráci s ruskou FSB zatknout dalších 16 lidí, kteří vyvinuli a distribuovali Trojan.Carberp [7] .

Jak však poznamenal kaspersky.ru v říjnu 2013, samotného trojského koně se nepodařilo zcela odstranit. Nejprve byl jeho kód nabízen za 40 tisíc dolarů a poté byl zpřístupněn veřejnosti [1] .

Poznámky

1. ↑ 1 2 3 "Velkolepé" čtyři bankovní trojské koně  (ruština)  ? . kaspersky.ru (21. října 2013). Získáno 12. listopadu 2021. Archivováno z originálu dne 12. listopadu 2021.  (neurčitý)
2. ↑ Organizátoři hackerské skupiny Carberp odsouzeni v Moskvě . RIA Novosti (21. dubna 2014). Získáno 12. listopadu 2021. Archivováno z originálu dne 12. listopadu 2021. (Ruština)
3. ↑ 1 2 Internetová publikace o špičkových technologiích . www.cnews.ru _ Získáno 12. listopadu 2021. Archivováno z originálu dne 12. listopadu 2021. (neurčitý)
4. ↑ Kapátka Gapz a Redyms jsou založena na kódu Power Loader . Habr (25. března 2013). Získáno 12. listopadu 2021. Archivováno z originálu dne 12. listopadu 2021. (Ruština)
5. ↑ 1 2 3 Carberp: Nekonečný příběh . Habr (26. března 2013). Získáno 12. listopadu 2021. Archivováno z originálu dne 12. listopadu 2021. (Ruština)
6. ↑ Ruské agentury sundaly Carberp  Gang . hrozby post.com (20. března 2012). Získáno 12. listopadu 2021. Archivováno z originálu dne 12. listopadu 2021.
7. ↑ Tvůrci Trojan.Carberp dostali pět let vězení . www.ferra.ru (9. července 2013). Získáno 12. listopadu 2021. Archivováno z originálu dne 12. listopadu 2021. (Ruština)