Carbanak

长久以来，ATM机似乎总是不法分子争相追逐的”猎物”。在过去，他们常使用切割锯这样的”重型武器”，或干脆直接用上炸药。但随着数字时代的到来，这一切都发生了改变。如今的不法分子无需再用这样的野蛮手段就能轻松攻破ATM机。

在我们爆炸性的热门新闻系列”Infosec news”的新一期中，我们将为您带来以下内容： Bugzilla遭黑客攻破给我们敲响了警钟：完全有必要设置高强度和唯一密码。 导致网络攻击者从各大金融组织窃取数百万美元的Carbanak黑客活动在欧洲和美国”卷土重来”。 卡巴斯基实验室研究发现了一种增强网络间谍C&C服务器隐秘级别的方法，可从”非常难以追踪”级别提高至”根本无法追踪”级别。 再次重申我们《安全周报》的编辑原则：每周Threatpost团队都会精心摘选三条当周要闻，并加上本人的辛辣评论。 Bugzilla的bug数据库遭黑客攻破 新闻。有关这一网络攻击的常见问题。 在上一期的《安全周报》中，我提出了所谓“负责任的信息披露”的问题，同时还列举了网络公司对披露所发现bug相关信息的不同意愿。有关Mozilla的bug追踪器遭黑客攻破的新闻可谓是这方面的完美范例：有时候隐藏存在漏洞的信息未尝不是好事。 显然这一问题并未得解决。在8月份，Mozilla发布了针对Firefox的补丁，并成功修复了存在于内置PDF查看器的bug。一名遭受漏洞利用的受害用户发现了这一bug并随即报告了该漏洞。这一网络攻击的切入点是特别设计的横幅广告，使得网络犯罪分子能窃取用户的个人数据。 我始终认为在开发人员编写补丁时，他们就已经意识到了bug。Bugzilla也含有关于该bug的信息，但却保存在系统的私用部分。上周所发生的状况证实了人们对非法访问的怀疑。事实上，Bugzilla并未被”黑客攻破’：只是网络攻击者发现了特权用户并在另一个受感染数据库找到了他的密码–而这各密码恰巧就是访问Bugzilla的密码。 结果是，网络攻击者早在2013年9月就成功访问了隐秘的bug数据库。在该网络攻击的常见问题中详细记载了在这一期间，黑客总共访问了185个bug的相关信息，其中53个bug极度危险。在网络犯罪分子非法访问数据库后，在被盗的bug清单中总共有43个漏洞打上了补丁。 在剩下信息遭泄露的bug中，其中有两个bug的信息在泄露一周内可能被打上了安全补丁；从理论上说，其中5个bug可能已被实施漏洞利用，因为在信息外泄后的一周到一个月内才发布了相关补丁。剩下的漏洞在过了335天后才发布了有针对性的补丁，在这期间总共被漏洞利用了131,157次。这是有关黑客攻击最可怕的新闻；然而，Mozilla开发者并没有’证据表明这些漏洞都已遭到漏洞利用。’在50多个bug中，只有一个曾遭到漏洞利用。 其中的道理很简单，我真的非常想登上高台大声疾呼：”朋友们！兄弟们，姐妹们！女士们，先生们！请务必对每个单独网络服务使用唯一密码！”然而，这并没有表面看上去的那么简单：此类方法肯定还要用到密码管理器。尽管可能你已经有了密码管理器，但你依然需要静下心来准确并彻底更改所有你使用频率较高的网络资源的密码，如果是全部网络资源的话当然更好。而来自我们的统计数据显示只有7%的人使用密码管理器。 全新Carbanak版本”卷土重来”，再次对美国和欧洲实施网络攻击 新闻。卡巴斯基实验室的2月份研究。CSIS更新研究。 我们将引用我们在2月份对’史上最严重数据盗窃’所发表的声明： “网络攻击者有能力将窃取的资金转移到他们自己的银行账户并立即篡改余额报表，这样可以防止该攻击被许多强大的安全系统发现。这一操作的成功是建立在网络犯罪分子对银行内部系统完全掌控的情况下。这也是为什么在成功攻破银行系统后，网络分子使用了大量情报技术以收集有关银行基础设施工作方式（包括：视频捕捉）的必要信息。” 在与执法机构的共同努力下，发现了多家银行因受到复杂且多层的Carbanak攻击而遭受资金损失，总金额达到10亿美元，且总共有超过100多家大型金融机构不幸成为受害者。但上述网络攻击发生在2月份，而在8月末的时候丹麦CSIS研究人员再次发现了Carbanak的全新改进版本。 新旧版本之间的区别并不大：只是将域名替换成了静态IP地址。至于数据盗窃所用的插件，与2月份使用的并无差异。 据CSIS称，新版本的Crabanak将攻击目标锁定为欧洲和美国的大型公司。 Turla APT攻击：如何借助卫星网络隐藏C&C服务器 新闻。另一篇新闻。研究。 包括卡巴斯基实验室研究专家在内的众多infosec研究人员长期对Turla APT网络间谍活动进行研究。去年，我们公布了针对黑客攻破受害人计算机、收集数据并发送至C&C服务器方法的极其详细的研究。 这一复杂的网络间谍活动每个阶段都需要用到许多工具，包括：借助零日漏洞利用受感染文档的’鱼叉式网络钓鱼’；病毒感染网站；根据攻击目标的复杂程度和数据临界性的各种数据挖掘模块（手动挑选）；以及相当高级的C&C服务器网络。结果是，截止8月份，该网络间谍活动声称已在45个国家（欧洲和中东地区占了大部分）致使数百名用户不幸成为受害人。 就在本周，卡巴斯基研究人员https://twitter.com/stefant公布了该网络攻击最后一阶段的数据，也就是将盗窃数据发送至C&C服务器的时候。为了能进行数据挖掘，Turla像之前的许多APT黑客小组一样，使用了各种不同方法–比如，滥用防托管。而一旦将盗取数据发送到在特定服务器上托管的特定C&C，那无论网络犯罪分子设置何种代理，都极大可能会遭到执法机构逮捕或被服务提供商阻止。 而这时候就需要用到卫星网络。使用卫星网络的优势在于只要在卫星覆盖范围内，就可以在任何地点建立或移除服务器。但这里还有个问题：租用容量够用的双向卫星信道不仅租金昂贵，而且一旦踪迹被发现将很容易暴露服务器的位置。我们研究专家发现的攻击方法并未使用到租赁模式。 只需对卫星通信终端的软件稍加修改就能进行”卫星钓鱼”，不仅不会拒绝不属于任何特定用户的数据包，同时也会进行收集。结果是，”卫星钓鱼者”可能会收集到其他人的网页、文件和数据。这一方法只有在一种情况下有效：卫星信道并未加密。

高级持续性威胁（APT）是信息安全专家常常挂在嘴边的话题，这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说，这种威胁似乎与己无关。 对于公众来说，最广为人知的一些攻击类似于间谍小说中的情节。直到最近，APT还不是人们关注的话题，因为绝大多数APT针对的是政府机构，其中所有调查细节高度保密，并且实际造成的经济影响难以估计，原因显而易见。 然而，今时不同往日：APT已将触角伸入商业领域，更准确的说是银行业。结果可想而知：以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网，黑客利用定向钓鱼邮件来诱导用户打开邮件，借机使用恶意软件感染电脑。一旦成功，黑客就会在用户电脑上安装一扇后门，后门基于Carberp银行恶意软件源码，此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后，黑客会以此电脑作为入口点，探测银行内网并感染其他电脑，目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后，黑客将研究银行使用的金融工具，并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后，为了完成行动，黑客会根据具体情况定义最为便利的方法来盗取资金，他们或者使用电汇转帐，或者建立一个假的银行账户，利用钱骡直接取现，或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月，从感染电脑的第一天开始算，一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元，即便分别来看，此金额也相当惊人。假设有数十家，甚至上百家金融机构因APT攻击导致资金被盗，累计总损失很有可能达到10亿美元，令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前，Carbanak蔓延范围不断扩大，目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息，Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间，攻击高峰时间是2014年6月。 很明显，除非被捕，否则黑客绝不会就此罢手。目前，众多国家网络防御中心和多家国际机构，包括欧洲刑警组织（Europol）和国际刑警组织在内（Interpol）都展开了调查行动。卡巴斯基全球研究分析小组（GReAT）也在其中贡献了自己的一份力量。 如何防御这种威胁？ 下面要告诉卡巴斯基用户一些好消息： 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本：Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平，我们建议您启用主动防御模块，卡巴斯基的所有产品版本中都含有此模块。 此外，还有一些小贴士，可保护您不受这种及其他安全威胁： 绝不打开任何可疑电子邮件，尤其是带附件的邮件。 定期更新使用的软件。例如，这次攻击行动利用的并不是零日漏洞，而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测：此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息，请查看Securelist上的相关博文。