Situatia este de o gravitate extrema: datele si tranzactiile clientilor Raiffeisen Bank au fost la dispozitia unei retele de crima organizata si le-au controlat de la distanta • Toata povestea apare intr-un raport facut de una dintre cele mai tari firme de consultanta impotriva fraudelor informatice, ca urmare a unei anchete interne cerute de sefii de la Raiffeisen Bank • Reporterii BZI au intrat in posesia continutului acestui raport facut de firma care are sediul in Moscova • De aproximativ un an de zile, ancheta procurorilor de la DIICOT Iasi s-a cam blocat • In Iasi au fost golite doua bancomate, unul din centru si unul din cartierul Alexandru cel Bun, insa doar unul dintre infractori a fost prins • Prezentam astazi inclusiv detalii tehnice, preluate din documentele interne ale bancii, cu privire la modul de operare al atacatorilor informatici
In editia de ieri, reporterii BZI au prezentat un prim episod dintr-o poveste care pare rupta din filmele americane – o retea de crima organizata specializata in fraude informatice a reusit sa intre pe serverele bancii Raiffeisen si a controlat activitatea bancomatelor din mai multe zone ale tarii.
Desi un astfel de tip de atac este fara precedent in Romania, în doar câteva ore fiind golite pur si simplu nu mai putin de 32 de bancomate, autoritatile nu au furnizat niciun detaliu despre aceasta situatie. Pentru ca au fost golite doua bancomate din Iasi, fiind prins doar unul dintre membrii retelei, dosarul se afla in lucru pe masa procurorilor de la Directia de Investigare a Infractiunilor de Criminalitate Organizata si Terorism Iasi (DIICOT).
De aproximativ un an de zile ancheta s-a blocat, pentru ca nu se poate ajunge la liderii retelei, nu pot fi identificati cei care au organizat o asemenea retea atat de bine pusa la punct.
Reporterii BZI vor prezenta astazi noi detalii despre modul de operare al retelei si despre reactia pe care au avut-o reprezentantii bancii la aflare vestii ca au fost jefuiti in asemenea maniera.
Sefii de la Raiffeisen au apelat la ajutorul unei firme tari din Rusia
Speriati de acest atac fara precedent în Romania, cei de la Raiffeisen Bank au apelat bineînteles la ajutorul Politiei si Parchetului. Si-au dat seama ca nu este suficient pentru ca un asemenea dosar nu a mai existat niciodata in lucru pe masa unui procuror din Romania. Evident, anchetatorii din Romania au luat legatura si cu specialistii din cadrul Europol si din cadrul altor state pentru a întelege ce se întampla.
Banca nu a stat pasiva sa astepte rezultatele anchetei si a cerut ajutorul uneia dintre cele mai bune firme de consultanta în materie de securitate informatica din lume.
Este vorba de o firma care are sediul în Moscova si care are oameni pregatiti exact pentru acest tip de evenimente. Firma se numeste IB Group – Global CyberSecurity Company si a efectuat un raport de cateva zeci de pagini in care explica ce s-a întâmplat. Acest raport a fost predat catre directorul Raiffeisen, fiind facut în mod exclusiv la solicitarea bancii. S-a incercat astfel si eliminarea suspiciunilor asupra angajatilor.
Ei bine, reporterii Buna Ziua Iasi au intrat in posesia continutului acestui raport. Vor fi prezentate tehnice aparent dificile pentru cei care nu au nicio legatura cu domeniul, dar esenta este una clara: hackerii au detinut controlul serverelor bancii si ar fi putut sa compromita inclusiv datele clientilor, sa le afle tranzactiile sau informatii despre datele private.
Având în vedere amploarea jafului si modul de operare, au fost verificate sucursalele acestei banci nu doar din România, ci si din Austria, Belarus, Bulgaria, Estonia, Georgia, Olanda, Polonia, Spania, Marea Britanie, Malaezia. "In data de 09 august 2016, în reteaua de posta electronica Raiffeisen Bank au fost primite 2 emailuri identice în continut care au fost expediate de la adresele de email : XXX si XXX. Emailul si atasamentul erau configurate sa para ca fiind trimise de la Banca Centrala Europeana. Emailul continea un fisier RTF în atasament, fisier care exploata o vulnerabilitate a aplicatiei informatice Microsoft Word si care avea instalat un program malitios denumit Cobalt Strike. Acest fapt a fost confirmat de analiza informatica efectuata asupra computerelor infectate, cât si de analiza continutului atasamentului malitios", se arata în documentele obtinute de BZI.
"Programul rau intentionat a fost configurat de asa natura, încât sa instaleze o aplicatie informatica în computerul tinta si sa preia controlul asupra acestuia. Totodata, acest continut avea multiple functii care includeau colectarea datelor din sistem, codurile de logare si obtinerea accesului de la distanta", completeaza specialistii din cadrul firmei de investigare a fraudelor informatice.
Cum au procedat pentru a nu fi gasiti de sistemul antivirus
Aparent, intrarea în serverele bancii nu este partea cea mai grea a afacerii. Hackerii trebuiau sa faca fata unei provocari si mai interesante: virusul instalat de ei sa nu fie detectat si sa nu fie prinsi inainte de a comite jaful. "Pentru a ramane nedescoperita de sistemele de detectare a intruziunilor (IDS), continutul a creat canale de acoperire folosind protocoale DNS, HTTP, HTTPS pentru a putea comunica cu serverele de comanda si control ale atacatorilor. Caracteristica cheie a programului Cobalt Strike a fost aceea ca se executa în memoria volatila a computerului infectat de natura a nu lasa foarte multe urme digitale ale activitatii acestuia. Persistenta malware-ului in computerele infectate a fost posibila prin folosirea de fiecare data de catre programul rau intentionat a unei setari care permitea acestuia evitarea semnaturilor informatice, astfel incat îl facea nedetectabil de sistemele traditionale IDS (sisteme de protectie si semnalare a unor astfel de programe)", se arata in documente.
Din mii de calculatoare ale corporatiei bancare, specialistii rusi au gasit exact calculatorul prin care a fost trimis virusul informatic. "Emailul pentru XXXX a fost deschis in data de 09 august 2016, la ora 14:45:01, de pe computerul numit MRLPATRG1 cu adresa IP 10.231.246.24. De asemenea, s-a constatat ca acest computer a fost punctul initial de infectare, deoarece a fost primul computer care a comunicat cu centrul de comanda si control al atacului informatic. Aceste conexiuni au fost detectate in logarile serverului proxy al corporatiei Raiffeisen Bank. Dupa aceea continutul modulului Cobalt Strike a fost descarcat in memoria serverului de unde a fost declansat atacul informatic care avea adresa IP 23.152.0.210 (adresa alocata unui utilizator neidentificat si localizat in Statele Unite ale Americii), modul ce a fost executat de la distanta în computerul victima al sistemului informatic Raiffeisen Bank. Modulul Cobalt Strike le-a asigurat faptuitorilor controlul de la distanta asupra computerului infectat", mai arata documentele.
În doar 15 minute au trecut toate barierele
În doar 15 minute de la trimiterea virusului, au reusit sa intre într-un cont de administrator local al retelei prin gasirea unui fisier de configurare a domeniului, care continea si parola de administrare. "Dupa executare, infractorii au obtinut accesul (într-un interval de 15 minute) la un cont de administrator local al retelei prin gasirea unui fisier de configurare a domeniului care continea parola de administrare. Apoi, autorii atacului informatic au decriptat acest fisier, folosind parolele publice disponibile pe website-ul oficial al Microsoft. Fisierul de configurare de interes a fost disponibil atacatorilor pe fiecare computer din reteaua bancara atacata. Folosind parolele obtinute prin accesul neautorizat în sistem (acreditari compromise), membrii gruparii infractionale au obtinut accesul la alte dispozitive din reteaua Raiffeisen Bank pe care le-au infectat. Acest fapt a fost confirmat de analiza logarilor de la computerul compromis initial. Au fost identificate cel putin 20 de calculatoare infectate de modulele Cobalt Strike", arata specialistii în combaterea crimei organizate informatice.
Calculatoarele bancii au ajuns la comanda hackerilor
Dupa toate aceste operatiuni, usor, usor, hackerii au reusit sa faca ce vor cu sistemele informatice ale bancii. Se pare ca nu au fost interesati de datele clientilor sau de efectuarea unor tranzactii prin care ar fi putut sa-si transfere banii în conturi.
Probabil ca asa ar fi putut sa fie prinsi. Astfel, dupa ce au obtinut controlul calculatoarelor bancii, s-au asigurat ca nu pot fi detectati de antivirus si au asteptat momentul potrivit. Practic, au asteptat sa caute oameni suficienti care sa mearga cu rucsacul la bancomat sa ia banii.
"Odata ce modulele aplicatiei daunatoare au fost instalate, atacatorii au reusit sa controleze computerele din reteaua bancara de la distanta. Software-ul antivirus si sistemele de detectare ale intruziunilor instalate în reteaua organizatiei financiare nu au putut detecta urmele sau activitatea modulelor Cobalt Strike", este una dintre constatarile specialistilor.
Cei de la IB-Group au folosit propriul sistem de detectare a intruziunilor pentru a scana întreaga retea informatica a Raiffeisen Bank si au aflat cam tot ce a facut acest virus Cobalt Strike. S-ar fi lucrat într-un sistem offline, pentru a identifica fiecare miscare a atacatorilor. Data de 3 septembrie 2016 a fost ziua cea mare: zeci de membri ai retelei au stat la gura bancomatelor si au asteptat sa curga banii.
"În data de 3 septembrie 2016, acreditarile compromise au fost folosite de catre atacatori pentru a accesa controlerele domeniului din reteaua bancii si conectarea la ATM-uri prin protocolul desktop la distanta (RDP). În timpul mai multor astfel de sesiuni, programe malitioase au fost copiate pentru fiecare ATM. Programele erau destinate sa trimita o comanda ATM-ului, fortând eliberarea de numerar din casetele cu bani fara ca aceste operatiuni sa fie rezultatul unor operatiuni bancare comandate la ATM-uri. Dupa executarea unor astfel de operatiuni, fisierele erau sterse (astfel nu puteau fi recuperate sau au fost suprascrise cu alte date informatice) din ATM si acesta era repornit de catre atacatori. Au fost identificate un nr. total de 32 de ATM-uri asupra carora au actionat faptuitorii. Dupa ce erau ridicati banii de la bancomate, autorii fraudei informatice au încercat sa îsi ascunda urmele suprascriind componente cheie (master boot record) din controlerele de domeniu", este descrisa activitatea retelei.
Ilya Konstantinovich Sachkov
Cine sunt cei care au reusit sa afle cum au procedat atacatorii
Firma la care au apelat sefii de la Raiffeisen are unele dintre cele mai bune referinte. A fost înfiintata în anul 2003 de un adevarat geniu al informaticii, Ilya Konstantinovich Sachkov. Este nascut în anul 1986 si avea doar 17 ani atunci cand a pus bazele acestei firme.
Astazi are 32 ani si este membru al comitetelor de experti din domeniul criminalitatii informatice din cadrul Consiliului Europei si OSCE. A fost premiat inclusiv de revista Forbes pentru meritele sale în domeniul combaterii atacurilor informatice, fiind considerat o minte cu adevarat sclipitoare.
In anul 2017, compania infiintata de Ilya Konstantinovich a devenit liderul Analizei pietei serviciilor de securitate, a serviciilor de amenintare a securitatii din Rusia. Pana la 80% din toate cazurile de investigatie de înalta calitate în domeniul criminalitatii de înalta tehnologie din Rusia sunt sustinute de expertii grupului IB. Acelasi grup fondat de tânarul din Rusia a protejat cu succes marca, site-urile si vânzarile de bilete online la Jocurile Olimpice de la Soci din 2014.
De asemenea, filmele detinute de firmele Sony Pictures, ParamountPictures, Fox TV, Discovery Channel, HBO Rusia sunt protejate de acest grup de firme mentionat. Practic, în acest moment, pe urmele piratilor informatici care au actionat si în Iasi se afla unii dintre cei mai buni specialisti din lume.
