سرقت از بانک‌های دست‌کم سه کشور توسط گروه نفوذ سکوت

یک گروه جرایم سایبری از ۱۰ بانک در روسیه، ارمنستان و مالزی سرقت کرد، این گروه به یک گروه قدیمی در این حوزه که Carbanak نام دارد، و گفته می‌شود به اندازه‌ی یک میلیارد دلار از سازمان‌های مالی سراسر جهان به سرقت برده، مرتبط است یا دست‌کم از آن‌ها تقلید می‌کند.

محققان آزمایشگاه کسپرسکی این گروه جدید را گروه سکوت یا Silence نامیدند و گزارشی درباره‌ی فعالیت‌های مجرمان این گروه منتشر کردند که شباهت زیادی به گروه نفوذ Carbanak دارد. اما به نظر می‌رسد این شباهت فقط در حد تقلید است.

پژوهش‌گر آزمایشگاه کسپرسکی گفت: «آن‌ها گروه Carbanak نیستند، فقط در بعضی نقاط از روش‌های یکسانی استفاده کرده‌اند.»

آزمایشگاه کسپرسکی گفت: «اطلاعاتی درباره‌ی موفقیت این گروه ندارند و نمی‌دانند که آن‌ها تا به امروز چقدر به سرقت برده‌اند.» با این حال، محققان می‌گویند که این حملات همچنان ادامه دارند.

به گفته‌ی محققان، حملات این گروه هدفمند است و از فیشینگ‌ هدف‌دار و چند راه متفاوت استفاده می‌کنند تا پایداری خود را در شبکه‌ی داخلی بانک حفظ کنند، بر کارکنان و فعالیت‌های سامانه نظارت داشته باشند و در نهایت به سرقت پول بپردازند.

پژوهش‌گران کسپراسکی اضافه کرده‌اند: «ما شاهد هستیم که اخیراً این روند در حال افزایش است، به طوری که با گذشت زمان سارقان سایبری بیشتری در قالب گروه‌های نفوذ پیشرفته و حرفه‌ای ظاهر شده و موفق می‌شوند. نگران‌کننده‌ترین مسأله این است که رویکرد مخفیانه این گروه‌ها باعث می‌شود که صرف نظر از ویژگی‌های معماری امنیت بانک‌ها، حملات آن‌ها موفق باشند.»

 

 

رایانامه‌های فیشینگ هدف‌دار شامل ضمیمه‌هایی هستند که سرانجام یک نصب‌کننده را بارگیری و اجرا کرده و به زیرساخت‌های مهاجمان کمک می‌کنند. این نصب‌کننده‌ برای ارسال اطلاعات سامانه و اجرای کد مخرب استفاده می‌شود، این کد مخرب داده‌ها را بارگذاری می‌کند، گواهی‌نامه‌ها را به سرقت می‌برد و وظایفی مانند ضبط صفحه‌ی نمایش را آغاز می‌کند که یکی از مشخصه‌های گروه نفوذ Carbanak است.

گروه سکوت، مانند گروه نفوذ Carbanak، قبل از سرقت پول، از تصاویر صفحه‌ی نمایش برای ایجاد یک جریان از فعالیت‌های روزانه در رایانه‌های کارمندان استفاده می‌کند و اطلاعات مورد نیاز خود درباره‌ی فرآیندهای داخلی را به دست می‌آورد.

آزمایشگاه کسپرسکی در گزارش خود گفت: «ما قبلاً این شیوه را در گروه نفوذ Carbanak و دیگر گروه‌های مشابه در سراسر جهان مشاهده کرده‌ایم.»

آزمایشگاه کسپرسکی گفت: «رایانامه‌های فیشینگ هدف‌دار گروه سکوت از طرف حساب کاربری کارمندانِ یک شبکه‌ی مالی آسیب‌دیده که قبلاً به آن نفوذ شده است، ارسال شده‌اند.»

در گزارش آزمایشگاه کسپرسکی آمده است: «مجرمان سایبری از رایانامه‌های فیشینگ هدف‌دار ارسال‌شده توسط گروه سکوت به عنوان بردارهای آلودگی اولیه استفاده می‌کنند، آن‌ها اغلب با یک درخواست برای باز کردن یک حساب در بانک مورد حمله، آدرس‌های رایانامه‌ی کارکنان یک موسسه‌ی مالی که در حال حاضر آسیب‌دیده است، را مورد استفاده قرار می‌دهند. این پیام مانند یک درخواست معمولی به نظر می‌رسد. استفاده از این ترفند مهندسی اجتماعی، باعث می‌شود که گیرنده‌ی پیام مشکوک نشود.»

 

 

گروه سکوت همچنین از قالب کمک برخط مایکروسافت به نام کمک HTML کامپایل‌شده‌ی مایکروسافت یا همان CHM استفاده می‌کند. پرونده‌های CHM تعاملی هستند و می‌توانند پروند‌ه‌های جاوا اسکریپت را اجرا کنند، به عنوان مثال مهاجمان از این پرونده‌ها استفاده می‌کنند تا قربانیان را به URLهای خارجی هدایت کنند.

آزمایشگاه کسپرسکی گفت: «مهاجمان از پرونده‌های CHM بهره‌برداری می‌کنند تا پس از دسترسی به این پرونده به طور خودکار بارداده‌های (Payload) مخرب را اجرا کنند. وقتی قربانی این ضمیمه را باز می‌کند، پرونده‌ی محتوای .htm جاسازی‌شده مانند پرونده‌ی «start.ht» اجرا می‌شود. این پرونده شامل جاوا اسکریپت است، و هدف آن بارگیری و اجرای یک مرحله‌ی دیگر از یک URL هاردکد شده است.»

پژوهش‌گران کسپراسکی فهرستی از نام‌ پرونده‌ها و عبارت‌های درهم‌سازی که برای مولفه‌های این بدافزار متفاوت کشف شده‌اند را منتشر کرده‌اند.

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید