Začalo to z kraje ledna 2012. V té době bezpečnostní experti z Guardian Analytics a McAfee poprvé zaznamenali u klientů jedné z populárních bank v Itálii nový typ útoků. Jeho součástí byly osvědčené malwarové nástroje SpyEye a Zeus (věnovali jsme jim minulý díl) s jejichž pomocí získali hackeři přístup k elektronickému bankovnictví obětí, aby odtud převedli peníze na účty bílých koní nebo na přednabité debetní karty, s nimiž lze platit zcela anonymně.
Plně automatizovaný
Přesto byl útok jiný než podobné předchozí – byl plně automatizován. Namísto toho, aby se hackeři pomocí získaného přístupu přihlásili k účtu oběti osobně, bylo vše nastaveno tak, aby prostřednictvím iFRAME tag nákazy malware automaticky přistoupil k účtu oběti přímo z jejího počítače, bez jakéhokoliv zásahu „operátora“.
Pokud měla oběť přístup k více účtům, byl zvolen ten s nejvyšším zůstatkem a z něj bylo převedeno buď procento ze zůstatku (to se u jednotlivých vln útoků lišilo), nebo relativně malá fixní částka, například 500 eur. Nemalé procento účtů přitom patřilo mezi tzv. „high rollers“ se zůstatky v řádech stovek tisíc eur (takže i pouhá 3 % z takových zůstatků představovala řádově statisíce korun na jednu oběť).
Hackerům se navíc podařilo překonat i systém vícefaktorového ověření, který je u evropských bank již řadu let běžný (na rozdíl od bank v USA, například). Typicky se jedná o kombinaci hesla, přístupového PIN nebo ověření pomocí SMS a jednorázového hesla či tokenu pro generování kódů. Malware byl upraven tak, aby takové zabezpečení překonal jednoduše tak, že si od uživatele vyžádal přihlašovací a ověřovací údaje při „simulovaném“ přihlášení, následně je použil pro vlastní transakci, zatímco uživateli zobrazil vzkaz typu „prosím vyčkejte“. Celá operace včetně převodu peněz na účet bílého koně získaný ze vzdálené databáze trvala typicky méně než minutu.
Útok sílí
Když bezpečnostní analytici znali způsob, kterým nový malware útočí, bylo snazší jej odhalovat. Koncem ledna 2012 tak byly stopy stejných útoků objeveny v Německu, kde se automatizovanému malware podařilo proniknout do 176 účtů. S jídlem roste chuť, a tak se průměrné procento převedených peněz dostalo nad 10 %, u několika mezinárodních převodů se pak jednalo o ještě větší částky – od přibližně 25 tisíc až po maximum 50 tisíc eur (více než milion korun) v jediném převodu. Z německých účtů celkem zmizel bezmála milion eur – byl to ale teprve začátek operace, jejíž celkové potenciální škody měly být nakonec odhadnuty v neuvěřitelném rozpětí 60 milionů až 2 miliard eur.
Další na řadě bylo Holandsko, kde hackeři změnili svou taktiku a svůj útok přenesli z klientských počítačů na vlastní virtuální server umístěný v kalifornském San Jose. Podařilo se jim tak proniknout do více než 5 tisíc účtů vedených u dvou holandských bank a převést odsud bezmála 36 milionů eur. Opět se také zvýšilo procento „odčerpaných“ peněz z napadených účtů – nyní to byla již víc než pětina. Aby toho mohli dosáhnout, upravili útočníci malware tak, aby se zaměřil především na firemní účty, u nichž neplatí (případně jsou mírnější) předpisy o sledování transakcí coby prevence proti praní špinavých peněz. Velké převody, včetně zahraničních, jsou navíc na firemních účtech vcelku běžné a k odhalení tak dochází o něco později.
Umístění C&C (command and control) serverů při útoku na evropské banky. (Zdroj: McAfee.com)
Cesta za teplem
Další na řadě byla Latinská Amerika, kde byly za cíl vybrány firemní účty s vyššími zůstatky (v řádů stovek tisíc až milionů dolarů). Zde útočníci opět mírně změnili strategii a po provedení automatických útoků ze serverů v USA v některých případech ručně intervenovali ve snaze převést z účtů i více než polovinu zůstatku. Jejich digitální stopa (na C&C servery) v tomto případě vedla do Moskvy.
Své americké servery pochopitelně hackeři využili i pro útok přímo v USA – pro tento účel dokonce připravili několik speciálních variant svého malware. Jejich obětí se stalo na sto firem. Útok navíc často postupoval v souladu s typickými obchodními praktikami, kdy jsou peníze na firemních účtech nejprve převedeny z rezervního účtu na účet běžný a až poté převedeny na cílový účet (v tomto případě účet bílého koně).
Kouzlo cloudu
Jak jsme již zmínili, na rozdíl od „klasických“ verzí SpyEye a Zeus použili v případě operace High Roller útočníci jejich upravené, automatizované verze – celý proces probíhal (vyjma několika „nejtučnějších“ kont) zcela automatizovaně. Neméně důležitou roli hrálo využití serverů na nichž počínaje útokem v Holandsku probíhala většina vlastních transakcí. Jejich přesunutí z počítače oběti a umístění na virtuální server u renomovaného poskytovatele hostingu znamenalo menší riziko odhalení i vyšší efektivitu. Útočníci navíc používali více serverů u různých poskytovatelů a každou další vlnu obvykle přesouvali na nové „místo“.
Útoky byly, zejména v případě firemních cílů v USA, vyloženě cílené – buď metodou velrhybářství (spear phishing), nebo cestou využití již dříve napadených systémů, které byly sledovány pomocí SpyEye či Zeus a následně mezi nimi vybráni nejvhodnější „kandidáti“ pro vlastní útok na online bankovnictví. Přesné cílení, společně s častými úpravami kódu a šifrováním komunikace, navíc výrazně komplikovaly efektivní odhalování těchto útoků. Podle bezpečnostních expertů z McAfee byli hackeři výtečně připraveni i po odborné stránce:
„Podvodníci jednoznačně znají bankovní odvětví. Dávali si pozor na limity a regulační ‚spouštěče‘, které jsou obvykle nastaveny v bankovních systémech pro detekci podvodů – typicky omezením převodu na určité procento zůstatku nebo vyhnutím se opakovaným převodům ze stejného účtu. Vlastní algoritmy malware byly napsány tak, aby simulovaly práci s webovým rozhraním účtu a měnily časování každé z transakcí tak, aby se zdálo, že jde o skutečného ‚lidského‘ uživatele.“
Ze zprávy McAfee a Guardian Analytics o útoku High Roller
Malware byl dokonce napsán tak důmyslně, že za sebou zahlazoval stopy přímo v online bankovnictví – obětem ukazoval falešné zůstatky, rušil odesílání e-mailů či zpráv o provedených převodech nebo výpisů z účtu.
Rusko, Albánie, Čína
V dodatečné zprávě, kterou po detailním rozboru celého útoku vydala společnost McAfee se konstatuje, že jeho autoři pečlivě vybírali, zejména v USA a Latinské Americe, odvětví na která zaútočí. Typicky se jednalo o výrobní podniky, státní a samosprávné organizace a importní či exportní firmy. Přestože samotné útoky probíhaly „z cloudu“ – prostřednictvím virtuálních serverů pronajatých u renomovaných poskytovatelů, stopy k řídícím serverům vedou k jedinému ISP v Ruském Kemerovu a následná napojení do Albánie a Číny.
Celkové škody se nakonec zastavily „pouze“ na 78 milionech dolarů (necelé 2 miliardy Kč). Autory útoku se vypátrat nepodařilo – jisté je jen to, že malware v podobě operace High roller plně dospěl do cloudového věku. Další generace měla přijít jen za pár měsíců v podobě Projektu Blitzkrieg, který mířil do oblasti investičního bankovnictví.
Odkazy
- Wikipedie – Operation High Rooller
- ZDNet – High Roller
- Business Insider – Operation High Roller
- WSJ Blog – Operation High Roller
- Zprávy McAfee k Operation High Roller: první, druhá
- Networkworld – Bank Hack: Operation High Roller
