Carberp
Carberp | |
---|---|
Тип | Троянская программа |
Год появления | 2011 год |
Carberp — троянская программа и одноимённая хакерская группа. Kaspersky.ru в 2013 году включил данный троян в «Великолепную четвёрку банковских троянов»[1].
История создания
[править | править код]Троян Carberp был создан в 2011 году братьями из Москвы для воровства конфиденциальной информации и проведения мошеннических действий в сфере банковских услуг в России. По данным МВД, преступная группа была создана для получения доступа к персональным компьютерам, использовавшимся для работы с системами «Банк-Клиент» за счёт вредоносного программного обеспечения[2].
С помощью трояна преступники подключались к персональным компьютерам, благодаря этому переводили денежные средства на заранее подготовленные счёта. Сведения Carberp передавал на специальный сервер, управляющий трояном.
Атакам Carberp подверглись банки на территории России и Украины[3].
Принцип внедрения вредоносного кода
[править | править код]В процессе анализа одного из дропперов Carberp, была обнаружена техника внедрения вредоносного кода в доверенные процессы Windows, основанная на коде Power Loader[4]. Сначала дроппер открывает одну из общедоуступных секций, затем прописывает шелл-код в конец какой-либо из них. Далее дроппер работает по схеме Gapz, с некоторыми изменениями в коде. Завершающим этапом является внедрение вредоносного кода процесс explorer.exe, который считается доверенным. Это делается для обхода антивирусных программ и исполнения нужных трояну действий в качестве доверенного процесса[5].
Плагины, которыми снабжался троян, удаляли антивирусные программы из заражённой системы, а также удаляли следы деятельности трояна. В дальнейшем троян стал применять шифрование передаваемой им информации[1].
Издание Cnews так резюмировало действия трояна Carberp[3]:
Carberp также эксплуатирует 4 уязвимости в операционных системах семейства Windows для повышения привилегий пользователя, что позволяет ему красть финансовые средства даже с тех компьютеров корпоративной сети, где есть доступ к ДБО, но нет прав администратора. Кроме того, Carberp умеет объединять зараженные ПК в ботсеть, которые насчитывают сотни тысяч компьютеров.
Модификация банковского ПО
[править | править код]Carberp модифицирует Java Virtual Machine. Он вносит изменения в банковское ПО, написанное на Java, с помощью библиотеки Javassist, которая способна управлять исполняемым байт-кодом Java («на лету»). Троян Carberp проводит этим методом атаку против системы онлайн-банкинга BIFIT’s iBank 2. После того, как клиент использует iBank 2 на зараженном компьютере, код начинает загружать дополнительный модуль AgentX.jar, затем запускается библиотека Javassist. Для быстрой модификации платежных документов используется Java/Spy.Banker[5].
После того, как добавятся все необходимые изменения в iBank2, злоумышленники получат полный контроль над всеми платежами, осуществляемыми через это банковское ПО. BIFIT’s iBank2 не контролирует целостность своего кода, поэтому утечка информации о денежных транзакциях становится не контролируемой. Все платежные операции проходят через злоумышленников, контролирующих троян Carberp. Кроме того, аналитики отмечают, что модуль Java/Spy.Banker способен обходить системы двухфакторной аутентификации с использованием одноразовых паролей[5].
Поимка киберпреступников
[править | править код]С начала ноября 2010 года Министерство внутренних дел России совместно с Федеральной службой безопасности и Group-IB работали над поимкой киберпреступников. В январе 2011 года следователи установили личность главы киберпреступной группировки. В течение всего года им удалось установить личности ещё семи его сообщников. Все они были арестованы. Преступники похитили более 60 миллионов рублей и около 2 миллионов долларов[6].
19 марта 2013 года Службе безопасности Украины благодаря сотрудничеству с ФСБ России удалось арестовать ещё 16 человек, разрабатывавших и распространявших Trojan.Carberp[7].
Тем не менее, как отмечал kaspersky.ru в октябре 2013 года, сам троян полностью ликвидировать не удалось. Сначала его код предлагался за 40 тысяч долларов, а затем был выложен в открытый доступ[1]. По информации Wikileaks, код Carberp был использован ЦРУ при создании компонента Stolen Goods, позволявшего набору шпионских инструментов Grasshopper оставаться в памяти даже после перезагрузки системы[8][9].
Примечания
[править | править код]- ↑ 1 2 3 «Великолепная» четверка банковских троянов . kaspersky.ru (21 октября 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
- ↑ Организаторы хакерской группы Carberp осуждены в Москве . РИА Новости (21 апреля 2014). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
- ↑ 1 2 Интернет-издание о высоких технологиях . www.cnews.ru. Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
- ↑ Дропперы Gapz и Redyms основаны на коде Power Loader . Хабр (25 марта 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
- ↑ 1 2 3 Carberp: бесконечная история . Хабр (26 марта 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
- ↑ Russian Agencies Take Down Carberp Gang (англ.). threatpost.com (20 марта 2012). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
- ↑ Создателям Trojan.Carberp дали пять лет тюрьмы . www.ferra.ru (9 июля 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
- ↑ Goodin, Dan WikiLeaks just dropped the CIA’s secret how-to for infecting Windows (амер. англ.). Ars Technica (7 апреля 2017). Дата обращения: 27 марта 2024.
- ↑ Nathaniel Mott. WikiLeaks Docs Reveal How The CIA Targets Windows Users (англ.). Tom's Hardware (8 апреля 2017). Дата обращения: 27 марта 2024.