Carberp

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 15.11.2021 tarkistetusta versiosta . tarkastukset vaativat 3 muokkausta .
carberp
Tyyppi troijalainen
ilmestymisvuosi 2011

Carberp  on troijalainen ohjelma ja samanniminen hakkeriryhmä. Vuonna 2013 Kaspersky.ru sisällytti tämän troijalaisen "Magnificent Four Banking Trojans" -ryhmään [1] .

Luontihistoria

Moskovan veljet loivat Carberp-troijalaisen vuonna 2011 varastaakseen luottamuksellisia tietoja ja harjoittaakseen petollisia toimia Venäjän pankkisektorilla. Sisäministeriön mukaan rikollisryhmä luotiin päästäkseen käsiksi henkilökohtaisiin tietokoneisiin, joita käytettiin pankki-asiakasjärjestelmien kanssa, haittaohjelmien kautta [2] .

Troijalaisen avulla rikolliset liittyivät henkilökohtaisiin tietokoneisiin, minkä ansiosta he siirsivät varoja valmiille tileille. Carberp välitti tiedot erityiselle palvelimelle, joka hallitsee troijalaista.

Carberp hyökkäsi pankkeja vastaan ​​Venäjällä ja Ukrainassa [3] .

Haitallisen koodin lisäämisen periaate

Analysoitaessa yhtä Carberpin droppereista löydettiin tekniikka haitallisen koodin syöttämiseksi luotettuihin Windows-prosesseihin Power Loader -koodin [4] perusteella . Ensin tiputin avaa yhden julkisista osista ja kirjoittaa sitten shell-koodin minkä tahansa niistä loppuun. Lisäksi tiputin toimii Gapz-järjestelmän mukaisesti, mutta koodissa on joitain muutoksia. Viimeinen vaihe on haitallisen koodin lisääminen explorer.exe-prosessiin, jota pidetään luotettavana. Tämä tehdään virustentorjuntaohjelmien ohittamiseksi ja troijalaisen tarvitsemien toimien suorittamiseksi luotettavana prosessina [5] .

Troijalaisen mukana toimitetut lisäosat poistivat viruksentorjuntaohjelmat tartunnan saaneesta järjestelmästä ja poistivat myös jälkiä troijalaisen toiminnasta. Myöhemmin troijalainen alkoi käyttää lähettämiensä tietojen salausta [1] .

Cnews tiivisti Carberp-troijalaisen [ 3] toiminnasta seuraavasti:

Carberp hyödyntää myös neljää Windows-perheen käyttöjärjestelmien haavoittuvuutta parantaakseen käyttäjien oikeuksia, minkä ansiosta se voi varastaa varoja jopa niistä yritysverkon tietokoneista, joilla on pääsy RBS:ään, mutta joilla ei ole järjestelmänvalvojan oikeuksia. Lisäksi Carberp pystyy yhdistämään tartunnan saaneet tietokoneet satojen tuhansien tietokoneiden robottiverkoksi.

Pankkiohjelmiston muutos

Carberp muokkaa Java-virtuaalikonetta . Se tekee muutoksia Java-kielellä kirjoitettuihin pankkiohjelmistoihin Javassist-kirjaston avulla, joka pystyy hallitsemaan Java-tavukoodin suoritettavaa tiedostoa ("lennossa"). Carberp-troijalainen hyökkää tällä menetelmällä BIFITin iBank 2 -verkkopankkijärjestelmää vastaan. Kun asiakas käyttää iBank 2:ta tartunnan saaneella tietokoneella, koodi alkaa ladata AgentX.jar-lisäosaa, minkä jälkeen Javassist-kirjasto käynnistetään. Java/Spy.Banker [5] on tarkoitettu maksuasiakirjojen nopeaan muokkaamiseen .

Kun kaikki tarvittavat muutokset on lisätty iBank2:een, hyökkääjät voivat hallita kaikkia tämän pankkiohjelmiston kautta suoritettuja maksuja. BIFITin iBank2 ei valvo koodinsa eheyttä, joten rahatapahtumia koskevien tietojen vuotaminen muuttuu hallitsemattomaksi. Kaikki maksutapahtumat menevät hyökkääjien kautta, jotka hallitsevat Carberp-troijalaista. Lisäksi analyytikot huomauttavat, että Java/Spy.Banker-moduuli pystyy ohittamaan kaksivaiheiset todennusjärjestelmät käyttämällä kertakäyttöisiä salasanoja [5] .

Kyberrikollisten vangitseminen

Marraskuun 2010 alusta lähtien Venäjän sisäministeriö on yhdessä liittovaltion turvallisuuspalvelun ja Group-IB:n kanssa työskennellyt kyberrikollisten kiinni saamiseksi. Tammikuussa 2011 tutkijat tunnistivat kyberrikollisryhmän johtajan. Vuoden aikana he onnistuivat tunnistamaan seitsemän muuta hänen rikoskumppaniaan. Heidät kaikki pidätettiin. Rikolliset varastivat yli 60 miljoonaa ruplaa ja noin 2 miljoonaa dollaria [6] .

19. maaliskuuta 2013 Venäjän FSB:n kanssa tehdyn yhteistyön ansiosta Ukrainan turvallisuuspalvelu onnistui pidättämään 16 muuta henkilöä, jotka kehittivät ja levittelivät Trojan.Carberpia [7] .

Kuten kaspersky.ru totesi lokakuussa 2013, itse troijalaista ei kuitenkaan voitu poistaa kokonaan. Aluksi hänen koodiaan tarjottiin 40 tuhannella dollarilla, ja sitten se julkistettiin [1] .

Muistiinpanot

  1. 1 2 3 "Mahtava" neljä pankkitroijalaista  (venäläinen)  ? . kaspersky.ru (21. lokakuuta 2013). Haettu 12. marraskuuta 2021. Arkistoitu alkuperäisestä 12. marraskuuta 2021.
  2. Carberp-hakkeriryhmien järjestäjät tuomittiin Moskovassa . RIA Novosti (21. huhtikuuta 2014). Haettu 12. marraskuuta 2021. Arkistoitu alkuperäisestä 12. marraskuuta 2021.
  3. 1 2 Internet - julkaisu korkeasta teknologiasta . www.cnews.ru _ Haettu 12. marraskuuta 2021. Arkistoitu alkuperäisestä 12. marraskuuta 2021.
  4. Gapz- ja Redyms-pisarat perustuvat Power Loader -koodiin . Habr (25. maaliskuuta 2013). Haettu 12. marraskuuta 2021. Arkistoitu alkuperäisestä 12. marraskuuta 2021.
  5. 1 2 3 Carberp: The Neverending Story . Habr (26. maaliskuuta 2013). Haettu 12. marraskuuta 2021. Arkistoitu alkuperäisestä 12. marraskuuta 2021.
  6. Venäjän virastot ottavat alas Carberp  Gangin . uhkapost.com (20. maaliskuuta 2012). Haettu 12. marraskuuta 2021. Arkistoitu alkuperäisestä 12. marraskuuta 2021.
  7. Trojan.Carberpin luojat saivat viisi vuotta vankeutta . www.ferra.ru (9. heinäkuuta 2013). Haettu 12. marraskuuta 2021. Arkistoitu alkuperäisestä 12. marraskuuta 2021.