משתמש:בר/Carbanak

Carbanak היא חוליית פשע קיברנטי שהתמחתה בהתקפות ממוקדות על מערכות פיננסיות ברחבי העולם, וגנבה כ-1 מיליארד דולר ממספר בנקים ומוסדות פיננסיים. ההתקפותיה נחשבות להונאות הסייבר הגדולות בהיסטוריה.

קבוצת Carbanak השתמשה במתקפת APT ממוקדת נגד מוסדות פיננסיים^[1], תוך כדי שימוש בטכניקות פישינג מתקדמות ושליטה במערכות פנימיות להונאות פיננסיות. ההתקפות, שהתגלו ב-2014 על ידי מעבדות קספרסקי^[2], כללו שימוש בתוכנה זדונית שהושתלה במערכות Windows דרך הודעות פישינג^[3]^[2]. התוכנה שימשה לגניבת כספים מבנקים באמצעות פקודות מאקרו. החוליה גנבה מעל 900 מיליון דולר מהבנקים ואף מלקוחות פרטיים. ההאקרים תמרנו את גישתם לרשתות הבנקאות, שלטו בכספומטים והעבירו כספים דרך רשת SWIFT לחשבונותיהם. הם אף שינו יתרות חשבון והעבירו את ההפרש לחשבונותיהם.

פשעי סייבר של הקבוצה

הפושעים הצליחו לתמרן את הגישה שלהם לרשתות הבנקאות המתאימות על מנת לגנוב את הכסף במגוון דרכים. במקרים מסוימים, כספומטים קיבלו הוראה להוציא מזומנים מבלי ליצור אינטראקציה מקומית עם המסוף. לפי קספרסקי, בלדרי כספים (Money mule) שנשכרו על ידי המאפיה המולדבית, אספו את הכסף והעבירו אותו דרך רשת SWIFT לחשבונות הפושעים. קבוצת Carbanak הרחיקה לכת ושינתה מסדי נתונים והעלאת יתרות בחשבונות קיימים, והכניסה לכיס את ההפרש ללא ידיעת המשתמש, שהיתרה המקורית שלו נותרה בעינה^[4]^[5]. לפי קאספרסקי, המטרות המיועדות שלהם היו בעיקר ברוסיה, ולאחר מכן גם בארצות הברית, גרמניה, סין ואוקראינה. בנק אחד איבד 7.3 מיליון דולר כשהכספומטים שלו תוכננו לפלוט שטרות בזמנים מסוימים, כשה-henchmen אספו אותם, בעוד שחברה אחרת איבדה 10 מיליון דולר דרך הפלטפורמה המקוונת שלה.

הפושעים הצליחו לתמרן את גישתם לרשתות הבנקאיות כדי לגנוב כספים במגוון דרכים. במקרים מסוימים, כספומטים קיבלו הוראות להוציא מזומנים באופן אוטומטי, מבלי ליצור אינטראקציה מקומית עם המסוף. לפי קספרסקי, בלדרי כספים (Money mule) שנשכרו על ידי המאפיה המולדבית אספו את הכסף^[6], והעבירו אותו דרך רשת SWIFT לחשבונות הפושעים. קבוצת Carbanak אף הרחיקה לכת ושינתה מסדי נתונים של הבנקים. היא העלתה יתרות בחשבונות קיימים, תוך כדי שהיא מכניסה לכיסה את ההפרש מבלי שהמשתמש יידע, כיוון שהיתרה המקורית נותרה כפי שהייתה. לפי קספרסקי, המטרות הראשוניות היו ברוסיה, ולאחר מכן גם בארצות הברית, גרמניה, סין ואוקראינה. בנק אחד איבד 7.3 מיליון דולר, כאשר כספומטים שלו היו מתוכננים להוציא מזומנים בזמנים מסוימים, והבלדרים אספו אותם. חברה אחרת איבדה 10 מיליון דולר דרך הפלטפורמה המקוונת שלה.

FireEye פרסמה מחקר שעוקב אחר פעילויות נוספות של קבוצת ההאקרים, תוך שהיא מתייחסת אליה כ-FIN7, כולל קמפיין דיוג ממוקד בנוגע ל-SEC.Proofpoint גם פרסמה מחקר שמקשר את הקבוצה לדלת האחורית של Bateleur, והרחיבה את רשימת היעדים שלה למסעדות רשת בארה"ב, ארגוני אירוח, קמעונאים, שירותי סוחר, ספקים ועוד, מעבר להתמקדות הראשונית בשירותים הפיננסיים. ב-26 באוקטובר 2020, PRODAFT (שוויץ) החלה לפרסם פרטים פנימיים של קבוצת Fin7/Carbanak וכלים שהקבוצה עושה בהם שימוש במהלך פעילותה. נטען כי המידע שפורסם נובע מכשל בהגנה על פרטיות (OPSEC) מצד שחקן האיום.

ב-26 במרץ 2018, יורופול טען כי עצר את "המוח" של קבוצת Carbanak וקבוצת Cobalt או Cobalt Strike באליקנטה, ספרד, בחקירה שהובילה המשטרה הלאומית הספרדית בשיתוף רשויות אכיפת החוק במספר מדינות וכן חברות אבטחת סייבר פרטיות. נראה כי הקבוצה המשיכה במתקפותיה, ומיוחסת לה פריצה בשנת 2018 לנקודות מכירה של "חברת מפרץ הדסון" באמצעות תוכנות זדוניות.

סדר פעולות

הדבקה – התוקפים שולחים דוא"ל שמכיל קובץ מצורף זדוני (דלת אחורית) לעובדי הבנק. הקובץ המצורף מכיל נוזקה שמאפשרת לתוקפים גישה למערכות הבנק.
איסוף מודיעין – לאחר ההדבקה, התוקפים אוספים מידע על מערכות הבנק ועל העובדים, כולל תצוגות מסך של הפקידים, כדי להבין את תהליכי העבודה וההעברות הכספיות.
חיקוי העובדים – התוקפים משתמשים במידע שנאסף כדי להתחזות לעובדי הבנק ולבצע פעולות מזויפות.
גניבת הכסף –
- התוקפים מעבירים כסף לחשבונות של הרמאים דרך מערכות בנקאות מקוונת לסין או לארה"ב .
- התוקפים משנים את יתרות החשבונות כדי ליצור כסף "מדומה" ואז מעבירים את הכסף העודף לחשבונותיהם.
- התוקפים שולטים בכספומטים וגורמים להם להפיק כסף בזמן שנקבע מראש.
הדבקת מאות מחשבים – התוקפים מדביקים מאות מחשבים בבנק בחיפוש אחר האדמין, אשר מאפשר גישה נרחבת למערכות הבנק.

מחלוקת

ישנה מחלוקת בין גורמים שונים בתעשיית האבטחה סביב התקפות Carbanak, כפי שתוארו בדו"ח של חברות אבטחת אינטרנט Group-IB (סינגפור) ו-Fox-IT (הולנד), אשר כינו את המתקפה "Anunak". הדו"ח שלהן מציין שההפסדים הכספיים היו נמוכים בהרבה ממה שדווח בהמשך. בתגובה לדיווח של הניו יורק טיימס, טענה "Fox-IT" שהממצאים לא תואמים את המידע שנוגע לבנקים מחוץ לרוסיה. בנוסף, בראיון לעיתון הרוסי "קומרסאנט", התבררה מחלוקת בין מעבדות קספרסקי ו"גרופ IB": האחרונה טענה כי לא נפגעו בנקים מחוץ לרוסיה ואוקראינה, והפעילות במדינות אחרות התמחתה במערכות נקודות מכירה. בהצהרה שנמסרה לרויטרס מטעם תעשיית אבטחת המידע, נמסר כי ה-FBI והשירות החשאי של ארצות הברית לא קיבלו דיווחים על השפעת Carbanak על המגזר הפיננסי. כמו כן, שתי קבוצות מייצגות של תעשיית הבנקאות האמריקאית, FS-ISAC ו-ABA, ציינו בראיון ל"בנק טקנולוג'י ניוז" כי בנקים אמריקאיים לא הושפעו מהמתקפה.

קישורים חיצוניים

דיווח על הדלפת קוד מקור של פוגען Carbanak, באתר מערך הסייבר הלאומי, ‏17 ביולי 2018
אסף גולן, Carbanak - קבוצת סייבר שודדת הבנקים הנודעת, באתר nrg‏, 10 בפברואר 2016
יוסי הטוני, ‏האקרים שגנבו מיליונים מבנקים שבו לפעול עם נוזקות מעודכנות, באתר "אנשים ומחשבים", 9 בפברואר 2016

הפניות

[[קטגוריה:מתקפות סייבר בעשור השני של המאה ה-21]] [[קטגוריה:תוכנות זדוניות]]

^ Kaspersky Labs' Global Research & Analysis Team (GReAT) (16 בפברואר 2015). "The Great Bank Robbery: the Carbanak APT". Securelist. אורכב מ-המקור ב-17 בפברואר 2015. {{cite web}}: (עזרה)
^ ¹ ² David E. Sanger and Nicole Perlroth (14 בפברואר 2015). "Bank Hackers Steal Millions via Malware". The New York Times. {{cite web}}: (עזרה)
^ Fingas, Jon (14 בפברואר 2015). "Subtle malware lets hackers swipe over $300 million from banks". engadget. אורכב מ-המקור ב-15 בפברואר 2015. {{cite web}}: (עזרה)
^ "Carbanak – Darknet Diaries". darknetdiaries.com (באנגלית). נבדק ב-2025-01-11.
^ "Carbanak Ring Steals $1 Billion from Banks". Threatpost. 15 בפברואר 2015. {{cite web}}: (עזרה)
^ Mathew J. Schwartz, Spain Busts Alleged Kingpin Behind Prolific Malware, BankInfoSecurity, ‏27 במרץ 2018 (באנגלית)

[1] Kaspersky Labs' Global Research & Analysis Team (GReAT) (16 בפברואר 2015). "The Great Bank Robbery: the Carbanak APT". Securelist. אורכב מ-המקור ב-17 בפברואר 2015. {{cite web}}: (עזרה)

[SangerPerlroth20150214-2] ¹ ² David E. Sanger and Nicole Perlroth (14 בפברואר 2015). "Bank Hackers Steal Millions via Malware". The New York Times. {{cite web}}: (עזרה)

[3] Fingas, Jon (14 בפברואר 2015). "Subtle malware lets hackers swipe over $300 million from banks". engadget. אורכב מ-המקור ב-15 בפברואר 2015. {{cite web}}: (עזרה)

[4] "Carbanak – Darknet Diaries". darknetdiaries.com (באנגלית). נבדק ב-2025-01-11.

[Threatpost-5] "Carbanak Ring Steals $1 Billion from Banks". Threatpost. 15 בפברואר 2015. {{cite web}}: (עזרה)

[6] Mathew J. Schwartz, Spain Busts Alleged Kingpin Behind Prolific Malware, BankInfoSecurity, ‏27 במרץ 2018 (באנגלית)

[1]

[2]

[3]

[4]

[5]

[6]