Carberp

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. november 15-én felülvizsgált verziótól ; az ellenőrzések 3 szerkesztést igényelnek .

carberp
Típusú	trójai
Megjelenés éve	2011

A Carberp egy trójai program és egy azonos nevű hackercsoport. 2013-ban a Kaspersky.ru felvette ezt a trójai programot a "Magnificent Four Banking Trojans" [1] közé .

Létrehozási előzmények

A Carberp trójai programot 2011 -ben hozták létre moszkvai testvérek, hogy bizalmas információkat lopjanak el, és csaló tevékenységeket végezzenek az oroszországi bankszektorban. A Belügyminisztérium szerint a bűnözői csoportot azért hozták létre, hogy rosszindulatú szoftvereken keresztül hozzáférjenek a Bank-Client rendszerekkel való együttműködéshez használt személyi számítógépekhez [2] .

Egy trójai segítségével a bûnözõk személyi számítógépekhez kapcsolódtak, ennek köszönhetõen pénzeszközöket utaltak át elõre elkészített számlákra. A Carberp információkat továbbított egy speciális szerverre, amely a trójaiakat kezeli.

A Carberp bankokat támadott meg Oroszországban és Ukrajnában [3] .

A rosszindulatú kód bevezetésének elve

A Carberp egyik cseppentőjének elemzése során felfedeztek egy technikát, amellyel rosszindulatú kódokat juttathattak megbízható Windows-folyamatokba Power Loader kódon [4] . Először a dropper megnyitja az egyik nyilvános szekciót, majd bármelyik végére shellkódot ír. Ezenkívül a csepegtető a Gapz-séma szerint működik, néhány változtatással a kódban. Az utolsó lépés a rosszindulatú kód bejuttatása az explorer.exe folyamatba, amely megbízhatónak tekinthető. Ez a vírusirtó programok megkerülésére és a trójainak megbízható folyamatként szükséges műveletek végrehajtására szolgál [5] .

A trójaihoz mellékelt beépülő modulok eltávolították a vírusirtó programokat a fertőzött rendszerből, és eltávolították a trójai tevékenységének nyomait is. Ezt követően a trójai az általa továbbított információk titkosítását kezdte használni [1] .

A Cnews a következőképpen foglalta össze a Carberp trójai [ 3] akcióit :

A Carberp emellett a Windows család operációs rendszereinek 4 sebezhetőségét is kihasználja a felhasználói jogosultságok növelésére, ami lehetővé teszi, hogy még azokról a vállalati hálózati számítógépekről is pénzt lopjon el, amelyek hozzáférnek az RBS-hez, de nem rendelkeznek rendszergazdai jogokkal. Emellett a Carberp képes a fertőzött PC-ket egy több százezer számítógépből álló botnetté egyesíteni.

Banki szoftver módosítás

A Carberp módosítja a Java virtuális gépet . Változtat a Java nyelven írt banki szoftvereken a Javassist könyvtár segítségével, amely képes kezelni a Java bájtkód futtatható fájlját ("menet közben"). A Carberp trójai ezzel a módszerrel támadja meg a BIFIT iBank 2 online banki rendszerét. Miután a kliens az iBank 2-t használja a fertőzött számítógépen, a kód elkezdi betölteni az AgentX.jar kiegészítőt, majd elindul a Javassist könyvtár. A Java/Spy.Banker [5] a fizetési bizonylatok gyors módosítására szolgál .

Miután az összes szükséges módosítást hozzáadta az iBank2-hez, a támadók teljes ellenőrzést gyakorolhatnak ezen a banki szoftveren keresztül végrehajtott fizetések felett. A BIFIT iBank2-je nem ellenőrzi kódjának integritását, így a pénzforgalommal kapcsolatos információk kiszivárgása ellenőrizhetetlenné válik. Minden fizetési tranzakció a Carberp trójai programját irányító támadókon keresztül megy keresztül. Emellett elemzők megjegyzik, hogy a Java/Spy.Banker modul képes megkerülni a kéttényezős hitelesítési rendszereket egyszeri jelszavak használatával [5] .

Kiberbűnözők elfogása

2010. november eleje óta az orosz belügyminisztérium a Szövetségi Biztonsági Szolgálattal és a Group-IB-vel közösen dolgozik a kiberbűnözők elfogásán. 2011 januárjában a nyomozók azonosították a kiberbűnözői csoport vezetőjét. Az év során további hét bűntársát sikerült azonosítaniuk. Valamennyiüket letartóztatták. A bűnözők több mint 60 millió rubelt és körülbelül 2 millió dollárt loptak el [6] .

2013. március 19-én az orosz FSZB-vel való együttműködésnek köszönhetően az ukrán biztonsági szolgálatnak további 16 embert sikerült letartóztatnia, akik kifejlesztették és terjesztették a Trojan.Carberp-et [7] .

Amint azonban a kaspersky.ru 2013 októberében megjegyezte, magát a trójai programot nem lehetett teljesen kiküszöbölni. Eleinte 40 ezer dollárért kínálták a kódját, majd nyilvánosan elérhetővé tették [1] .

Jegyzetek

↑ 1 2 3 "Csodálatos" négy banki trójai (orosz) ? . kaspersky.ru (2013. október 21.). Letöltve: 2021. november 12. Az eredetiből archiválva : 2021. november 12. (határozatlan)
↑ Elítélték a Carberp hackercsoport szervezőit Moszkvában . RIA Novosti (2014. április 21.). Letöltve: 2021. november 12. Az eredetiből archiválva : 2021. november 12. (Orosz)
↑ 1 2 Internetes publikáció a csúcstechnológiákról . www.cnews.ru _ Letöltve: 2021. november 12. Az eredetiből archiválva : 2021. november 12. (határozatlan)
↑ A Gapz és Redyms dropperek a Power Loader kódon alapulnak . Habr (2013. március 25.). Letöltve: 2021. november 12. Az eredetiből archiválva : 2021. november 12. (Orosz)
↑ 1 2 3 Carberp: The Neverending Story . Habr (2013. március 26.). Letöltve: 2021. november 12. Az eredetiből archiválva : 2021. november 12. (Orosz)
↑ Orosz ügynökségek szedik le a Carberp Gangot . veszélypost.com (2012. március 20.). Letöltve: 2021. november 12. Az eredetiből archiválva : 2021. november 12.
↑ A Trojan.Carberp alkotói öt év börtönt kaptak . www.ferra.ru (2013. július 9.). Letöltve: 2021. november 12. Az eredetiből archiválva : 2021. november 12. (Orosz)

A 2010-es évek hackertámadásai
A legnagyobb támadások	Kibertámadások Ausztráliában (2010) Művelet Digi Notar hadművelet A PlayStation Network feltörése és leállítása művelet jégköd Vörös Október hadművelet email LinkedIn hack (2012) Kibertámadás Dél-Korea ellen (2013) snapchat Üzemeltetési Az iCloud-fiók tömeges feltörése Sony Pictures Entertainment szerverek feltörése Kibertámadás az Egyesült Államok Demokrata Nemzeti Bizottsága ellen Kibertámadás Dyn ellen Kibertámadás a Westminsteri palota ellen WannaCry ransomware támadás Hackertámadások Ukrajna ellen (2017)
Hackerek csoportjai és közösségei	Anonim nemzetközi Névtelen cyberkut 121. osztály Hangulatos Medve Derp GNAA fantázia medve Goatse Security Lizard Squad LulzRaft LulzSec NullCrew 61398. osztály RedHack Szíriai Elektronikus Hadsereg Jemen elektronikus hadsereg Irán elektronikus hadsereg TeaMp0isoN műveletek ugnáci
magányos hackerek	Jeremy Hammond Hotz György Guccifer Guccifer Sabu Topiary The Jester weev
Kritikus biztonsági rések észlelve	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) USZÁR (SSL, 2014) Rootpipe (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty Cow (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorn (2017) Összeomlás (2018) Spectre (2018) Blue Keep (2019)
Számítógépes vírusok	Asprox rossz nyúl BASHLIT Bredolab Carbanak carberp Careto carna Fellegvár CryptoLocker Cutwail Dexter donbot Dridex duqu EternalRocks FinFisher láng Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye csillagok Stuxnet TDL-4 Virut Vulcanbot Sírni akar Nulla hozzáférés ANT katalógus
2000 -es évek • 2010-es évek • 2020-as évek