carberp | |
---|---|
Típusú | trójai |
Megjelenés éve | 2011 |
A Carberp egy trójai program és egy azonos nevű hackercsoport. 2013-ban a Kaspersky.ru felvette ezt a trójai programot a "Magnificent Four Banking Trojans" [1] közé .
A Carberp trójai programot 2011 -ben hozták létre moszkvai testvérek, hogy bizalmas információkat lopjanak el, és csaló tevékenységeket végezzenek az oroszországi bankszektorban. A Belügyminisztérium szerint a bűnözői csoportot azért hozták létre, hogy rosszindulatú szoftvereken keresztül hozzáférjenek a Bank-Client rendszerekkel való együttműködéshez használt személyi számítógépekhez [2] .
Egy trójai segítségével a bûnözõk személyi számítógépekhez kapcsolódtak, ennek köszönhetõen pénzeszközöket utaltak át elõre elkészített számlákra. A Carberp információkat továbbított egy speciális szerverre, amely a trójaiakat kezeli.
A Carberp bankokat támadott meg Oroszországban és Ukrajnában [3] .
A Carberp egyik cseppentőjének elemzése során felfedeztek egy technikát, amellyel rosszindulatú kódokat juttathattak megbízható Windows-folyamatokba Power Loader kódon [4] . Először a dropper megnyitja az egyik nyilvános szekciót, majd bármelyik végére shellkódot ír. Ezenkívül a csepegtető a Gapz-séma szerint működik, néhány változtatással a kódban. Az utolsó lépés a rosszindulatú kód bejuttatása az explorer.exe folyamatba, amely megbízhatónak tekinthető. Ez a vírusirtó programok megkerülésére és a trójainak megbízható folyamatként szükséges műveletek végrehajtására szolgál [5] .
A trójaihoz mellékelt beépülő modulok eltávolították a vírusirtó programokat a fertőzött rendszerből, és eltávolították a trójai tevékenységének nyomait is. Ezt követően a trójai az általa továbbított információk titkosítását kezdte használni [1] .
A Cnews a következőképpen foglalta össze a Carberp trójai [ 3] akcióit :
A Carberp emellett a Windows család operációs rendszereinek 4 sebezhetőségét is kihasználja a felhasználói jogosultságok növelésére, ami lehetővé teszi, hogy még azokról a vállalati hálózati számítógépekről is pénzt lopjon el, amelyek hozzáférnek az RBS-hez, de nem rendelkeznek rendszergazdai jogokkal. Emellett a Carberp képes a fertőzött PC-ket egy több százezer számítógépből álló botnetté egyesíteni.
A Carberp módosítja a Java virtuális gépet . Változtat a Java nyelven írt banki szoftvereken a Javassist könyvtár segítségével, amely képes kezelni a Java bájtkód futtatható fájlját ("menet közben"). A Carberp trójai ezzel a módszerrel támadja meg a BIFIT iBank 2 online banki rendszerét. Miután a kliens az iBank 2-t használja a fertőzött számítógépen, a kód elkezdi betölteni az AgentX.jar kiegészítőt, majd elindul a Javassist könyvtár. A Java/Spy.Banker [5] a fizetési bizonylatok gyors módosítására szolgál .
Miután az összes szükséges módosítást hozzáadta az iBank2-hez, a támadók teljes ellenőrzést gyakorolhatnak ezen a banki szoftveren keresztül végrehajtott fizetések felett. A BIFIT iBank2-je nem ellenőrzi kódjának integritását, így a pénzforgalommal kapcsolatos információk kiszivárgása ellenőrizhetetlenné válik. Minden fizetési tranzakció a Carberp trójai programját irányító támadókon keresztül megy keresztül. Emellett elemzők megjegyzik, hogy a Java/Spy.Banker modul képes megkerülni a kéttényezős hitelesítési rendszereket egyszeri jelszavak használatával [5] .
2010. november eleje óta az orosz belügyminisztérium a Szövetségi Biztonsági Szolgálattal és a Group-IB-vel közösen dolgozik a kiberbűnözők elfogásán. 2011 januárjában a nyomozók azonosították a kiberbűnözői csoport vezetőjét. Az év során további hét bűntársát sikerült azonosítaniuk. Valamennyiüket letartóztatták. A bűnözők több mint 60 millió rubelt és körülbelül 2 millió dollárt loptak el [6] .
2013. március 19-én az orosz FSZB-vel való együttműködésnek köszönhetően az ukrán biztonsági szolgálatnak további 16 embert sikerült letartóztatnia, akik kifejlesztették és terjesztették a Trojan.Carberp-et [7] .
Amint azonban a kaspersky.ru 2013 októberében megjegyezte, magát a trójai programot nem lehetett teljesen kiküszöbölni. Eleinte 40 ezer dollárért kínálták a kódját, majd nyilvánosan elérhetővé tették [1] .