Eksperti kompanije Kaspersky Lab su tokom 2017. i 2018. godine bili uključeni u rešavanje incidenata izazvanih sajber-pljačkama kojima su bile pogođene finansijske institucije u Istočnoj Evropi. Istraživači kompanije Kaspersky Lab otkrili su da su korporativne mreže, u svakom pojedinačnom slučaju, probijene uz pomoć nepoznatog uređaja kojim je upravljao napadač, koji je uređaj krišom uneo u poslovni objekat i povezao ga na mrežu. Do danas, bar osam banaka u regionu je bilo napadnuto na ovaj način, a gubitak se procenjuje na desetine miliona dolara.
Napadači su koristili tri vrste uređaja: laptop, Raspberry Pi (single-board računar veličine kreditne kartice) ili Bash Bunny (specijalno dizajniran alat za automatizaciju i sprovođenje napada putem USB-a). Ovi uređaji bili su opremljeni GPRS-om, 3G ili LTE modemom koji je napadačima omogućio da na daljinu prodru u korporacijsku mrežu finansijske organizacije.
Nakon uspostavljanja veze, sajber-kriminalci su pokušali da pristupe web serverima i ukradu podatke koji su im potrebni za pokretanje Remote Desktop protokola (RDP) na određenom računaru, a zatim zaplene sredstva ili podatke. Ova metoda napada uključivala je korišćenje Impacket, winexesvc.exe, ili psexec.exe alata za daljinsko upravljanje. U završnoj fazi, napadači su koristili softver daljinske kontrole kako bi održali pristup na zaraženom računaru.
„Tokom proteklih godinu i po dana bili smo svedoci jedne potpuno nove vrste napada na banke, prilično sofisticirane i kompleksne u smislu detekcije. Ulazna tačka na korporacijsku mrežu bila je dugo vremena nepoznata, jer se mogla pronaći u bilo kojoj kancelariji u bilo kom regionu. Ovi nepoznati uređaji, koji su prokrijumčareni i sakriveni, od strane uljeza, nisu mogli biti pronađeni daljinskim putem. Osim toga, akter pretnje koristio je legitimne usluge, što je još više komplikovalo odgovor na incident“, rekao je Sergej Golovanov (Sergey Golovanov), stručnjak za bezbednost u kompaniji Kaspersky Lab.
Kako bi se zaštitile od ovakvih neuobičajenih pristupa digitalne krađe, finansijskim institucijama predlažemo sledeće:
• Obratite pažnju na nadgledanje povezanih uređaja i pristupa korporativnoj mreži. To možete učiniti koristeći rešenje Kaspersky Endpoint Security for business.
• U potpunosti uklonite sigurnosne rupe, uključujući i one koji imaju neispravne mrežne konfiguracije. U tom slučaju Kaspersky Penetration Testing service je izuzetno pogodno i veoma efikasno rešenje, pružajući ne samo podatke o pronađenim ranjivostima, već i savete organizacijama o tome kako ih popraviti, što dodatno ojačava korporativnu bezbednost.
• Koristite specijalizovano rešenje protiv naprednih pretnji, koje može otkriti sve vrste anomalija i detaljno ispitati sumnjive aktivnosti u mreži na dubljem nivou, kako bi pronašli i prepoznali složene napade. Rešenje protiv ovakvih pretnji je Kaspersky Anti Targeted Attack platforme