Το Smartphone σας μπορεί να χακαριστεί οποιαδήποτε στιγμή, αν έχετε ένα από αυτά τα 22 Android Apps
infosec

Το Smartphone σας μπορεί να χακαριστεί οποιαδήποτε στιγμή, αν έχετε ένα από αυτά τα 22 Android Apps

Παρόλο που η Google έχει δημιουργήσει το Google Play protect, για να ελέγχει αν οι εφαρμογές στο play store περιέχουν...
Read More
infosec

Απαγορεύστε στις εφαρμογές να παρακολουθούν το smartphone σας μέσα από απλά βήματα!

Εκατοντάδες εφαρμογές μπορούν να σας παρακολουθούν και να μοιραστούν προσωπικές πληροφορίες με τους διαφημιστές και τους λιανοπωλητές. Υπάρχει όμως τρόπος...
Read More
infosec

Μανώλης Σφακιανάκης: Νέα γραφεία του Cyber Security International Institute (CSIi) στη Θεσσαλονίκη

Την έναρξη λειτουργίας γραφείου του Cyber Security International Institute (CSIi) στη Θεσσαλονίκη ανακοίνωσε ο πρώην επικεφαλής της Δίωξης Ηλεκτρονικού Εγκλήματος,...
Read More
infosec

Bethesda: Εκτέθηκαν προσωπικά στοιχεία που υπήρχαν στα αιτήματα υποστήριξης

Αφού ζήτησαν τα προσωπικά στοιχεία των πελατών τους στην Fallout 76 στα αιτήματα υποστήριξης (support tickets), η Bethesda Software LLC...
Read More
infosec

Φαίνεται ότι AI bots μπορούν να παραβιάσουν εύκολα τα CAPTCHA

Εάν είστε ένας από  τους ανθρώπους που μισούν τη διαδικασία να διαλέγουν αυτοκίνητα, πινακίδες δρόμου και άλλα αντικείμενα σε πλέγματα...
Read More
Latest Posts

Group IB: Δυο hacker groups επιτίθενται σε Ρωσικές τράπεζες

Η Group IB εντόπισε μια τεράστια καμπάνια προσποιούμενη την κεντρική τράπεζα της Ρωσίας, με στόχο διάφορα Ρωσικά χρηματοπιστωτικά ιδρύματα. Τα emails ήταν «μεταμφιεσμένα» και έμοιαζαν με τα αληθινά emails που στέλνει η κεντρική τράπεζα της Ρωσίας και της FinCERT.  Οι ειδικοί της Group IB ανακάλυψαν ότι η επίθεση της 15ης Νοέμβριου θα μπορούσε να έχει εκτελεστεί από το hacker group Silence, ενώ η επίθεση της 23ης Οκτωβρίου από την MoneyTaker. Η Group IB θεωρεί αυτά τα δυο hacker group ως τα πιο επικίνδυνα στην Ρωσία.

Group IB hacker group Russian banks

Επίθεση Νοεμβρίου: Silence  

Το πρωί της 15ης Νοεμβρίου, η Group IB εντόπισε μια καμπάνια που έστελνε μαζικά emails σε όλες τις τράπεζες της Ρωσίας, από μια ψεύτικη ηλεκτρονική διεύθυνση, όπου φαινόταν να ανήκει στην CBR (Central Bank of Russia). Προφανώς η CBR δεν έχει καμία σχέση με την καμπάνια. Η καμπάνια χρησιμοποιούσε μια διεύθυνση της τράπεζας (ή τουλάχιστον έτσι φαινόταν μέσω spoofing), αλλά όχι το SSL certificate που θα έπρεπε επίσης να χρησιμοποιεί. Το email που αποστελλόταν είχε το θέμα ”Information from the Central Bank of the Russian Federation”, και ζήταγε από τους παραλήπτες να ελέγξουν την απόφαση ενός ρυθμιστικού φορέα. Τα αρχεία που έπρεπε οι παραλήπτες να ανοίξουν βρίσκονταν μέσα σε ένα συμπιεσμένο αρχείο zip, το οποίο κατά το άνοιγμα του, κατέβαζε το Silence.Downloader, δηλαδή το εργαλείο που χρησιμοποιούν οι hackers της ομάδας Silence. Αυτό που παρατήρησαν οι ερευνητές της Group IB είναι ότι η δομή των email ήταν πανομοιότυπη με αυτή που χρησιμοποιεί η τράπεζα, πράγμα που σημαίνει ότι οι hackers με κάποιον τρόπο είχαν στην διάθεση τους δείγματα που μπορούσαν να αντιγράψουν. Σύμφωνα με το report της Group IB, μέλη της Silence πρέπει να ήταν στο παρελθόν ή να είναι ακόμα εργαζόμενοι της τράπεζας ως penetrator testers ή reverse engineers.

Επίθεση Οκτωβρίου: MoneyTaker  

Το μήνυμα το οποίο στάλθηκε στις 23 Οκτωβρίου, επίσης από πλαστή διεύθυνση email της FinCERT, περιείχαν 5 επισυναπτόμενα αρχεία, πανομοιότυπα με αρχεία της CBR. Τα 3 από τα 5 ήταν κενά αρχεία doc, ενώ τα άλλα δυο έκαναν λήψη του Meterpreter Stager. Για να εκτελέσουν την επίθεση, οι hackers χρησιμοποίησαν δικό τους SSL Certificate, ενώ χρησιμοποίησαν τον ίδιο server που είχαν χρησιμοποιήσει και σε προηγούμενες επιθέσεις τους, από όπου και βγήκε το συμπέρασμα ότι η MoneyTaker βρίσκονταν πίσω από την επίθεση του Οκτωβρίου.

Το αυτοματοποιημένο σύστημα ανίχνευσης εισβολών της Group IB εντόπισε αμέσως την καμπάνια και ενημέρωσε τις υπόλοιπες τράπεζες για την κακόβουλη δραστηριότητα. “Τα hacker groups MoneyTaker και Silence είναι οι δυο πιο επικίνδυνες ομάδες που στοχεύουν χρηματοοικονομικά ιδρύματα. Από προηγούμενες επιθέσεις τους, έχουμε δει ότι στοχεύουν οργανισμούς με κάθε πιθανό τρόπο που μπορούν να σκεφτούν. Για παράδειγμα μπορεί να στείλουν spear phishing emails, να ληστέψουν  κάποιο φυσικό κατάστημα του οργανισμού, ή να ελέγξουν το δίκτυο του οργανισμού για πιθανές ευπάθειες. Αφού καταφέρουν να πάρουν πρόσβαση σε κάποιο εσωτερικό σύστημα του οργανισμού, μπορούν εύκολα να εκτελέσουν καταστροφικές επιθέσεις, να κάνουν αναλήψεις από ΑΤΜ, να πάρουν πρόσβαση σε εσωτερικά συστήματα και πολλά άλλα. Από το ιστορικό των επιθέσεων τους ωστόσο συμπεραίνουμε ότι προτιμούν τις επιθέσεις phishing, στις οποίες δίνουν μεγάλη προσοχή για να τις κάνουν να φαίνονται αληθινές.

Η Group IB είναι συνεργάτης της INTERPOL, της EUROPOL, και προτείνεται από την SWIFT και την OSCE.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *