
Хакеры взяли под полный контроль банк в Бразилии

Такая ситуации сохранялась в течение трех месяцев, до октября прошлого года, когда стало очевидно, что через веб-сайт банка всем его посетителям внедряются вредоносные программы - файл Java, спрятанный внутри архива .zip, загруженного в индексный файл.
Раскрывая подробности онлайн-атаки на саммите аналитиков систем безопасности, исследователи из Лаборатории Касперского Фабио Ассолини и Дмитрий Бестужев сообщили, что злоумышленники орудовали еще в девяти других организациях разных регионов мира.
Банк, имя которого не разглашается, сообщает, что обслуживает пять миллионов клиентов в Бразилии, США, Аргентине и на Большом Каймане и управляет активами в сумме 25 млрд доларов силами сети, включающей 500 отделений.
"У каждого посетителя есть плагин с JAR-файлом внутри", - поясняет Д. Бестужев, добавляя, что хакеры контролировали индексный файл сайта. Внутри индекса был загружен iframe, который перенаправлял посетителей на веб-сайт, с которого им и загружалось вредоносное ПО.
Хакеры захватили управление DNS-серверами банка, переместив все 36 доменов банка на фальшивые сайты, которые использовали бесплатные сертификаты HTTPS от Let's Encrypt.
«Все домены, в том числе корпоративные, были под контролем «плохих парней», - говорит Ф. Ассолини, добавляя, что злоумышленники также внедрились в инфраструктуру корпоративной электронной почты и заблокировали, не позволив банку информировать клиентов об атаке или контактировать с их регистратором и DNS-провайдером.
Исследователи обнаружили восемь модулей, в том числе конфигурационные файлы с URL-адресами банка, модули обновления, модули для кражи учетных данных для Microsoft Exchange, Thunderbird и локальную адресную книгу, а также модули управления и дешифрования интернет-банкинга. Все модули, по словам исследователей, вели диалог с сервером управления в Канаде.
Один из модулей, Avenger, является законным инструментом тестирования проникновения, который используется для удаления руткитов. Но в данном случае он был изменен с целью удаления продуктов безопасности, работающих на зараженных компьютерах. Именно Avenger помог исследователям определить, что аналогичным образом были атакованы и захвачены девять других банков по всему миру.
«Преступники хотели использовать эту возможность, чтобы захватить операции исходного банка, а также загружать вредоносные программы, способные похищать деньги у банков других стран», - говорит Д. Бестужев.
Исследователи также сообщили о том, что на банковские домены загружались фишинговые страницы, чтобы побудить жертвы к вводу данных платежных карт.
Эта афера была выявлена за пять месяцев до регистрации сертификата Let's Encrypt. Были также обнаружены фишинг-письма с именем бразильского регистратора, адресованные местным компаниям.
Д. Бестужев и Ф. Ассолини полагают, что это мог быть способ, посредством которого хакеры использовали настройки DNS банка.
«Представьте, что используя «выуженные» данные одного сотрудника, злоумышленники получают доступ к таблицам DNS – это очень плохо! - подчеркнул Д. Бестужев. - Если DNS под контролем преступников – всё, вы «попали».
Исследователи подчеркнули важность обеспечения безопасности инфраструктуры DNS и необходимость использования преимуществ таких функций, как двухфакторная аутентификация, которые предлагаются большинством регистраторов, но мало кто из клиентов их использует.
«Именно такое и случилось с этим банком», - резюмировал Ф. Ассолини.
По материалам PLUSworld.ru, finextra.com