Foto: Freeimages / Paul PasiecznyBanke, telekomunikacione kompanije i vladine organizacije u SAD, Južnoj Americi, Evropi i Africi su najčešće mete, a GCMAN i Carbanak hakerske grupe su glavni osumnjičeni za ove napade.
Poslednjih nedelja učestao je niz „nevidljivih“ ciljanih napada koji koriste isključivo legalan softver: alate za penetracione testove i administraciju, kao i PowerShell okvir za automatizaciju zadataka na Windows operativnom sistemu, pri čemu malver fajlovi nisu instalirani na hard disk već se kriju u memoriji. Ovakav kombinovan pristup omogućuje kriminalcima da izbegnu detekciju, zbog čega istražitelji nemaju gotovo nikakvih dokaza na osnovu kojih bi mogli da sprovode istragu. Napadači se zadržavalju tek toliko dugo da dobiju dovoljno informacija, nakon čega brišu svoje tragove prilikom prvog restartovanja sistema.
Krajem 2016. godine, u pojedinim bankama su primetili u memoriji svojih servera softver za penetraciono testiranje koji ne bi trebalo da se nalazi tu – Meterpreter. Ovaj softver se danas često koristi u maliciozne svrhe. Meterpreter je radio u kombinaciji sa brojnim legitimnnim PowerShell skriptama i drugim alatima. Ovako kombinovani alati predstavljali su maliciozni kod koji ima sposobnost da se sakrije u memoriji, i da neprimetno prikuplja lozinke sistemskih administratora kako bi napadačima omogućio da daljinski kontrolišu sistem. Kraljnji cilj bio je prostup finansijskim procesima banaka.
Otkriveno je da su se ovi napadi odvijali na globalnom nivou, pri čemu je pogođeno više od 140 kompanija širom sveta, a najviše u SAD, Francuskoj, Ekvadoru, Keniji, Velikoj Britaniji i Rusiji.
Nije poznato ko stoji iza ovih napada. Usled korišćenja koda otvorenog izvora, kao i Windows alata i nepoynatih domena, gotovo je nemoguće otkriti koja grupa je odgovorna za napade, pa čak i da li je u pitanju jedna grupa ili više njih. Neke od najpoznatijih hakerskih grupa koje koriste slične pristupe jesu GCMAN i Carbanak.
Ovi alati otežavaju proces otkrivanja detalja o samim napadima. Normalna procedura podrazumeva da istražitelji prate tragove koje su napadači ostavili u sistemu. I dok podaci koji se nalaze na hard disku mogu biti vidljivi i godinu dana nakon napada, malver koji se krije u memoriji nestaje nakon prvog sledećeg pokretanja sistema. Srećom, stručnjaci su uspeli da ih uoče na vreme.
Napadači su i dalje aktivni, tako da treba imati u vidu da je detekcija napada moguća samo u RAM memoriji, mreži i registrima, i da u tim slučajevima, korišćenje Yara pravila zasnovanih na skeniranju malicioznih objekata neće biti od koristi.
Pratite nas na našoj Facebook i Instagram stranici, ali i na Twitter nalogu. Pretplatite se na PDF izdanje lista Danas.
