Хакеры взяли под полный контроль банк в Бразилии 

Такая ситуации сохранялась в течение трех месяцев, до октября прошлого года, когда стало очевидно, что через веб-сайт банка всем его посетителям внедряются вредоносные программы - файл Java, спрятанный внутри архива .zip, загруженного в индексный файл.

Раскрывая подробности онлайн-атаки на саммите аналитиков систем безопасности, исследователи из Лаборатории Касперского Фабио Ассолини и Дмитрий Бестужев сообщили, что злоумышленники орудовали еще в девяти других организациях разных регионов мира.

Банк, имя которого не разглашается, сообщает, что обслуживает пять миллионов клиентов в Бразилии, США, Аргентине и на Большом Каймане и управляет активами в сумме 25 млрд доларов силами сети, включающей 500 отделений.

"У каждого посетителя есть плагин с JAR-файлом внутри", - поясняет Д. Бестужев, добавляя, что хакеры контролировали индексный файл сайта. Внутри индекса был загружен iframe, который перенаправлял посетителей на веб-сайт, с которого им и загружалось вредоносное ПО.

Хакеры захватили управление DNS-серверами банка, переместив все 36 доменов банка на фальшивые сайты, которые использовали бесплатные сертификаты HTTPS от Let's Encrypt.

«Все домены, в том числе корпоративные, были под контролем «плохих парней», - говорит Ф. Ассолини, добавляя, что злоумышленники также внедрились в инфраструктуру корпоративной электронной почты и заблокировали, не позволив банку информировать клиентов об атаке или контактировать с их регистратором и DNS-провайдером.

Исследователи обнаружили восемь модулей, в том числе конфигурационные файлы с URL-адресами банка, модули обновления, модули для кражи учетных данных для Microsoft Exchange, Thunderbird и локальную адресную книгу, а также модули управления и дешифрования интернет-банкинга. Все модули, по словам исследователей, вели диалог с сервером управления в Канаде.

Один из модулей, Avenger, является законным инструментом тестирования проникновения, который используется для удаления руткитов. Но в данном случае он был изменен с целью удаления продуктов безопасности, работающих на зараженных компьютерах. Именно Avenger помог исследователям определить, что аналогичным образом были атакованы и захвачены девять других банков по всему миру.

«Преступники хотели использовать эту возможность, чтобы захватить операции исходного банка, а также загружать вредоносные программы, способные похищать деньги у банков других стран», - говорит Д. Бестужев.

Исследователи также сообщили о том, что на банковские домены загружались фишинговые страницы, чтобы побудить жертвы к вводу данных платежных карт.

Эта афера была выявлена за пять месяцев до регистрации сертификата Let's Encrypt. Были также обнаружены фишинг-письма с именем бразильского регистратора, адресованные местным компаниям.

Д. Бестужев и Ф. Ассолини полагают, что это мог быть способ, посредством которого хакеры использовали настройки DNS банка.

«Представьте, что используя «выуженные» данные одного сотрудника, злоумышленники получают доступ к таблицам DNS – это очень плохо! - подчеркнул Д. Бестужев. - Если DNS под контролем преступников – всё, вы «попали».

Исследователи подчеркнули важность обеспечения безопасности инфраструктуры DNS и необходимость использования преимуществ таких функций, как двухфакторная аутентификация, которые предлагаются большинством регистраторов, но мало кто из клиентов их использует.

«Именно такое и случилось с этим банком», - резюмировал Ф. Ассолини.

По материалам PLUSworld.ru, finextra.com