Хакерские атаки на банковские учреждения: 7 неясных фактов

Кто стоит за недавними онлайн атаками, направленными против нескольких финансовых учреждений, включая Банк Америки, JPMorgan Chase, PNC, США банк, и Wells Fargo? В последние недели, все они немного пострадали от крупномасштабных DDoS-атак, которые привели к нарушению работы сайтов и прерыванию процесса обслуживания клиентов.

Группа хактивистов называющая себя, Кибер бойци Изз ад-Дин аль Кассам, взяла на себя ответственность за организацию операции  Ababil,  которая, как  она утверждает, является массовой кампанией протеста против недавнего выпуска фильма, который высмеивает  основателя ислама.

Но, исследователи информационной безопасности провели анализ атак и используемых инструментов, и выяснили, что в заявлении, сделанном предполагаемой группой хактивистов не все складываются. Ниже представлено семь фактов о том, что в настоящее время известно о недавних и предстоящих атаках на банковские учреждения .

1.Оглашенные хактивистамы средства атаки не были замечены

Была ли это на самом деле атака со стороны группы хактивистов, или - как некоторые бывшие официальные лица США утверждают в анонимных интервью – может за этим стоит правительство Ирана?

 "В своих сообщениях, хактивисти из Cyber fighters of Izz ad-din Al Qassam огласили о использовании нескольких инструментов для атак, в их числе  Mobile LOIC Apache Killer version ", - отметил в своем блоге  Ронен Кениг, директор по маркетингу продукции для обеспечения безопасности в Radware. - "Этот инструмент не был замечен при исследовании трафика атаки,  поэтому не исключено, что, в конце концов, группа Cyber fighters и вовсе не стоит за этим нападением, или что она не смогла завербовать сторонников, которые были готовы использовать инструмент нападения - mobile LOIC ".

2. Серверы, а не бот-сети, привели к обрушению сайтов банков

Атаки получились достаточно мощными за счет использования серверов, зараженных вредоносными программами. "Большинство трафика атак было получено за счет зараженных серверов, а не  бот-сетей", сказал по телефону, Карл Хербергер, вице-президент по безопасности в Radware. "Серверы были взяты под контроль злоумышленниками еще до нападения".

Использование вредоносного серверного программного обеспечения немного необычно, и в соответствии с исследователями в Arbor Networks, эти атаки не похожи на ранее наблюдаемые кампании хактивистов. "Очевидно, что были захвачены сервера с высокой пропускной способностью", - сказал по телефону, Дэн Холден, директор по безопасности  Arbor инженерных и, разговаривая. "И видимо речь идет о хостингах веб-сайтов, которые были скомпрометированы или использовать".

3. Идентифицированные средства атаки

 Одним из инструментариев, который был использован для DDoS атаках - и он может оказаться единственным – стал набор средств «itsoknoproblembro». По информации Prolexic Technologies, данный инструментарий был использован для организации "устойчивый загрузки" с пиковыми значениями  в 70 Гбит/с и 30 миллионов пакетов в секунду.

Этот программное обеспечение также может быть использовано для запуска смешанных DDoS атак. «Инструментарий "Itsoknoproblembro” включает в себя множество направлений атак на инфраструктуру и уровень приложений, таких как SYN флудинг -  одновременно может атаковать несколько портов назначения и хостов, а также ICMP, UDP и SSL атаки", согласно Prolexic. Кроме того, этот инструментарий может также использоваться для вывода из стоя DNS-инфраструктуры с помощью UDP «флудинга».

4. Работа банков была нарушена  из-за «наводнения»  зашифрованного SSL трафика

 Помимо объемов траффика сгенерированного в результате атак, «обрушения»  банковских сайтов  были успешными  также и потому, что использовались SSL атаки, которые могут быть созданы с помощью таких средств, как Dirt Jumper.

 "Каждая SSL DDoS атака, которую мы наблюдали, была в виде лавинных HTTP GET запросов, которые были зашифрованы", сказал Хербергер. "Это был очень простой «флудинг» ... [но] инфраструктура, которая установлена для предотвращения SSL атак, предназначена для борьбы против незаконных проникновений, а не DDoS-атак".

К сожалению, устройства, которые обеспечивают предотвращение SSL вторжений, сами могут стать целью DDoS атак и бить успешно выведены из строя, используя относительно небольшие объемы траффика. "В нашем случае в течение двух недель, мы увидели как была нарушена работа организаций по предоставлению финансовых услуг, которые имеют в распоряжении линии связи с пропускной способностью  40 гигабит, путем использования SSL атаки объемом 30 мегабит" - отметил Хербергер.

5. Центры обработки данных не следят за исходящими DDoS атаками

 Хербергер отметил, что недавние атаки на банки должны побудить бизнес организации с высокопроизводительными серверами пересмотреть свою политику безопасности, в том числе обеспечить возможности определения случаев заражения серверов через itsoknoproblembro и соответствующую  фильтрацию трафика.

"Центры обработки данных, MSSP и провайдеры облачных услуг  обычно не осуществляют фильтрацию исходящего трафика, и если даже это делается, то, в основном,  для вредоносных программ – но не для  объемных DDoS атак", сказал он. " Они могут быть обеспокоены атаками на периметре своей сети. Но я думаю, что не многие из этих организаций могут прийти к осознанию того, что они, возможно, были «наконечником» для атак злоумышленников".

6. Инструментарий для DDoS атак найден в Саудовской Аравии

 Интересно то, что Radware нашел версию инструментария для DDoS  -  itsoknoproblembro на сервере в Саудовской Аравии. "Похоже, что это «чистый», или не такой многофункциональный вариант, который не имеет всех функций, которые мы наблюдали в реальных атаках", сказал Хербергер.

Несмотря на выявлений инструментарий, используемый в нападении, исследователям еще предстоит найти сопровождающую инфраструктуру управления и контроля. "Похоже, что эти нападения были скоординированы, что дает основания предполагать о существовании определенное центра  управления", сказал Хербергер.

7. Вербовка злоумышленников для новых атак на банки

Исходя из новостей в сфере информационной безопасности,  30 банков в США находятся под угрозой атаки со стороны группы 100 botmasters, с возможным использованием троянских приложений типа Trojan Gozi, которые предназначены для кражи информации в областях финансовых услуг, розничной торговли, здравоохранения и т.д.

"В соответствии с информацией с неофициальных источников, злоумышленники планируют использовать Trojan утилиты для осуществления мошеннических переводов, путем перехвата и подмены коммуникационных сессий связи организаций", отметил в своем блоге Мор Ахувиа, специалист по киберпреступности в FraudAction RSA.

Такого рода атаки не являются редкостью. В прошлом месяце в совместном отчете, Financial Services Information Sharing and Analysis Center, и Internet Crime Complaint Center предупреждали, что онлайн-преступники запустили множество фишинговых электронных писем и троянских кейлоггеров в финансовые учреждениях для захвата учетных данных сотрудников с целью получения доступа в систему. Злоумышленники используют полученные учетные данные для перемещения денежных средств на зарубежные счета.

comments powered by Disqus

Кратко

Arbor Networks

DDoS-атака (Distributed Denial of Service) — атака на компьютерную систему с целью довести её до отказа, то есть, до такого состояния, что пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. В результате, отказ системы может быть как самой целью, так и одним из шагов к захвату контроля над самой системой.

Поддержка

  • Консультируем
  • Настраиваем
  • Даем на тестирование
  • Меняем
  • и всё это 24/7

Контакты

Официальный партнер Arbor Networks в Украине:

E-mail: info@arbornetworks.com.ua