ФБР предупреждает, что компьютерные преступники начали организовывать длительные, изматывающие кибер-атаки против банков и их клиентов, являющиеся «дымовой завесой», призванной отвлечь внимание от крупных кибер-налетов, проводимых параллельно с ними.
По сообщению Бюро, эти атаки совпали с электронными ограблениями корпоративных счетов, совершенных преступниками, использующими модифицированную версию трояна ZeuS, которая называется «Gameover». Всплеск числа краж начался после серии интенсивных спамовых рассылок, предназначенных для распространения вредоносного ПО, маскирующегося под сообщение от Национальной Ассоциации автоматизированных расчетных палат (National Automated Clearing House Association, NACHA), бесприбыльной группы, которая занимается разработкой рабочих стандартов для организаций, имеющих дело с электронными платежами. Этот вариант ZeuS крадет пароли и дает атакующей стороне прямой доступ к компьютеру и сетевому подключению жертвы.
В нескольких недавних атаках, как только воры переводили деньги со счета организации-жертвы, Internet-адрес организации подвергался сетевой атаке, из-за чего сотрудники организации не могли получить доступ в Web.
Также, в некоторых из этих атак, имелся необычный поворот сюжета, указывающий на использование преступниками денежных мулов в Соединенных Штатах, по крайней мере, в части этих краж. Согласно бюллетеню ФБР, некоторые из неавторизованных банковских переводов, сделанных со счетов организаций, были адресованы напрямую дорогим ювелирным магазинам, «в которые затем приходили денежные мулы и забирали драгоценности на сумму 100 000 долларов (или другую переведенную сумму)».
Далее в бюллетене говорится:
«Расследование показало, что преступники связываются с дорогими ювелирными магазинами и договариваются о покупке драгоценных камней и дорогих часов. Преступники оговаривают, что переведут деньги на счет ювелирного магазина, и пришлют кого-то, чтобы забрать покупки. На следующий день в магазин приходит денежный мул, - ювелир проверяет и убеждается, что деньги на счет переведены (или находятся в стадии окончательного подтверждения транзакции), и выдает мулу купленный товар. Позднее транзакция отменяется или проводится обратная транзакция (если финансовое учреждение вовремя обнаружило мошенничество) и у ювелирного магазина образуется недостача драгоценностей или других товаров, которые успел получить мул».
Атакующая сторона предусмотрела также блокирование Web-сайтов тех банков, где находятся счета жертв. Хосе Назарио (Jose Nazario), руководитель отдела исследований в Arbor Networks, компании, которая специализируется на защите организаций от крупных кибер-атак, сказал, что, хотя большинство из этих банковских сайтов принадлежат малым и средним банкам, преступникам удавалось заблокировать также и сайты крупных банков.
«Это тревожная тенденция», сказал Назарио.
Назарио сказал, что в нескольких известных ему кибер-ограблениях, произошедших за последние две недели, использовались распределенные атаки типа «отказ в обслуживании» (DDoS-атаки), которые нападающие организовывали при помощи ботнетов «Dirt Jumper» и «Russkill». Dirt Jumper - это коммерческий криминальный пакет, который продается в хакерском подполье за несколько сотен долларов, и который предназначен для создания и установки ботов на взломанные ПК. Этот вредоносный код позволяет преступникам использовать инфицированные системы для создания фальшивого трафика, направленного на атакуемые сайты (сайт KrebsOnSecurity.com ранее в этом месяце стал жертвой атаки со стороны ботнета Dirt Jumper).
У экспертов по безопасности нет единого мнения по поводу стратегии, стоящей за этими DDoS-атаками, которые очень заметны и привлекают внимание, как жертв, так и их банков. Одна из гипотез состоит в том, что такой перерыв в работе отвлечет внимание, и тех, и других.
«Предполагается, что DDoS-атаки отвлекают внимание от денежных переводов, а также делают невозможным возврат денег (если транзакция замечена)», говорится в бюллетене ФБР.
Подобная стратегия, по всей видимости, оказалась успешной в случае с компанией Sony, которая сосредоточила внимание на отражении DDoS-атаки со стороны группы Anonymous, в то время как хакеры выкачивали информацию о более чем 100 миллионах пользователей.
«В хаосе DDoS-атаки, обычные сетевые администраторы слишком заняты тем, чтобы удержать сеть на плаву, и не замечают проведение реальной атаки», сказал Хосе Энрике Хернандес (Jose Enrique Hernandez), эксперт по безопасности в компании Prolexic, расположенной в Голливуде (штат Флорида) и специализирующейся на обороне от DDoS-атак. «Это базовая техника отвлечения внимания».
Другая гипотеза в отношении кибер-налетов, сопровождающихся DDoS-атаками, заключается в том, что воры таким способом пытаются не дать жертве получить доступ к своему счету. Одна шайка киберпреступников, ответственная за множество краж со счетов малых и средних предприятий в США, после успешного ограбления жертвы зачастую передавала трояну ZeuS команду «уничтожить операционную систему».
Организациям, использующим онлайновый доступ к своим банковским счетам, следует понимать, что они сами отвечают за любые потери, возникшие в результате кибер-мошенничества. Я неизменно советовал малым и средним предприятиям использовать для доступа к счету специально выделенный для этой цели компьютер, который не используется для других целей - предпочтительно, с операционной системой, отличной от Windows, - или же использовать загрузку системы с «live CD».