Новости
Ракурс

Банковский вирус Cerberp: как защитить свои счета?

Банковские троянцы по своим свойствам отличаются от обычных вирусов. Они не устраивают показушных блокирований компьютеров с требованием заплатить деньги, не «убивают» с налета винчестеры, не достают надоедливым перенаправлением на игровые интернет-сайты. Их задача схожа с работой разведчика-диверсанта: на первом этапе заброски и внедрения на чужую территорию — максимально не дать себя обнаружить, залечь глубоко на дно в операционной системе пользователя и незаметно собирать секретную информацию, передавая ее в «центр» — на сервер управления. Причем в «центр» стекается информация со множества таких же зараженных компьютеров. Там она анализируется, на что могут уходить месяцы (о борьбе правоохранительных органов с хакерами читайте в статье "Банковские хакеры: найти и обезвредить").


.

А когда поведение жертвы и его программное обеспечение достаточно изучены, проходит второй этап операции — сервер управления отдает троянцу команду на кражу денег, чтобы тот незаметно от пользователя сформировал фиктивную платежку, подписал ее сворованной электронной цифровой подписью, провел по системе «Клиент—банк» и старательно замел за собой следы. Почему же вирусу удается так ловко орудовать? Потому что он использует различные уязвимости в операционных системах, их недокументированные функции и дыры по безопасности в конкретном программном обеспечении. Рассмотрим подробнее, как Cerberp проникает и что он делает.

Проникновение

Внедрение на компьютер жертвы происходит практически незаметно — обычно во время просмотра любимых сайтов в интернете: при открытии картинок или просмотре видео. Увы, фото, как и видео, — давно не безопасный контент. Наиболее стандартная ситуация — это когда бухгалтер, на ПК которого установлена система дистанционного банковского обслуживания (ДБО), просматривает, к примеру, форум бухгалтеров или сайт о красоте и здоровье. Сайты наиболее подвержены заражению. В интернете существуют целые сети зараженных сайтов (они же боты), контролируемые из серверов управления. Во время такого совершенно безобидного занятия, как просмотр сайта, браузер зависает, появляется какое-нибудь сообщение, предупреждающее об ошибке в программе, и предложение ее закрыть или перегрузить. Бухгалтер, не вникая (да и что тут особенного), нажимает на кнопку программного окошка и, собственно, в этот момент активирует вирус — он уже десантировался на компьютер жертвы. Теперь его задача — глубоко внедриться.

Если описанные события происходят в крупной компании на служебном компьютере бухгалтера, то далее события развиваются следующим образом. Браузер все равно виснет, несмотря на закрытое окно об ошибке. Бухгалтер вызывает системного администратора, который, придя к пользователю (морально презираемому им «юзВерю»), перелогинивается под своим паролем администратора (ведь так проще устранить любую проблему) и перезапускает браузер. Вирус при этом получает возможность работать под правами администратора, получает полный доступ к системе и глубоко прячется в ней. Это ему и было нужно. Браузер заработал, сайт открывается, проблема «юзВеря» решена — администратор возвращается к себе. Все счастливы: админ решил проблему, бухгалтер снова может читать свои любимые сайты, а вирус внедрился.

Причем, по некоторым слухам из источников в кругах банковской безопасности, существуют новые модификации Cerberp, которым для внедрения на компьютер жертвы не нужны даже привилегии администратора.

Если речь идет о более простом случае — домашнем компьютере, то все происходит быстрее и менее болезненно. Просто ответил на всплывающее окошко — и вирус уже у тебя. Причем он внедряется в другие рабочие в памяти процессы и прячется в них. Свой же начальный процесс — выгружает. Поэтому найти его по списку процессов в памяти нереально, его там не будет. В то же время код написан достаточно качественно, чтобы своей деятельностью не тормозить работу компьютера (единственный фактор, который косвенно мог бы натолкнуть пользователя на мысль о дополнительной тщательной проверке системы). Увы, времена, когда замедление работы ПК вызывало подозрения в работе вируса, прошли. Когда вопрос касается больших денег, программы пишутся иначе: качественно и аккуратно, в четком соответствии с поставленной задачей. Ведь это уже не хулиганство ради личного удовольствия, а криминальный бизнес.

Зараженный таким образом компьютер сам становится разносчиком заразы. Если в него вставлялись внешние носители данных (HDD, Flash Disk), то вирус способен проникнуть и на них. Так, даже без наличия сети, вирус продолжает свое распространение.

Наблюдение и кража информации

В зависимости от команды из «центра» вирус похищает пароли доступа к банковским системам дистанционного обслуживания, ключи электронной цифровой подписи, считывает реквизиты платежей. Сервер управления, получив такие данные о потенциальной жертве, накапливает их. Преступники, управляющие вирусом, анализируют поведение клиента: какую финансовую деятельность он ведет, кому, за что и какие суммы платит. Их задача — в час «Х» дать команду вирусу провести платеж, который по смыслу не будет выделяться в потоке обычной деятельности жертвы, но переведет деньги на счета подставной фирмы-однодневки. С обычным для данного клиента назначением платежа.

Cerberp имеет модули для работы с наиболее распространенными системами ДБО. Это означает, что вирус в дальнейшем получит индивидуальный приказ провести хищение денег из определенной системы «Клиент—банк» у определенного клиента. Фактически это реализация механизма четкого «заказа». Модули подгружаются в процессе работы, весь арсенал для взлома «таскать» с собой нет необходимости: после анализа информации с зараженного компьютера преступники принимают решение, какой дополнительный модуль на него загрузить — под конкретные систему ДБО и банк.

Один из распространенных приемов работы Cerberp — это перехват обращения браузера на сайт банка, замена страницы на подложную (полную копию оригинальной), на которой ничего не подозревающая жертва вводит банковские логин и пароль. Понятно, что вирус перехватывает их и уже программно вводит на настоящем сайте, получая таким образом доступ в систему ДБО. Клиент думает, что общается с банком, а на самом деле — лишь с его зеркальным отображением на хакерском сайте.

Вирус дублирует у себя действия пользователя, но на этапе наблюдения не производит активных действий. Так накапливается история работы клиента, платежи, реквизиты. Все эти данные нужны в дальнейшем для анализа с целью составления подложного платежа, максимально схожего с имеющимися в накопленной базе.

Кража с банковских счетов

Когда на жертву собрано достаточное досье, преступники планируют удобный момент по выводу денег. Обычно анализируются дни, в которые бухгалтер и директор недоступны для связи. Например, у кого-то из них вошло в привычку в определенное время года уезжать на охоту или на отдых за рубеж, либо выключать сотовый в выходные или праздничные дни. В том случае, если такой промежуток времени вычисляется, злоумышленники ожидают подтверждения наличия денег на банковском счету. Вирус способен самостоятельно выходить на связь с банком, если зараженный компьютер включен, и проверять остатки на счетах.

О методах блокировки SMS-уведомлений о трансакциях «Ракурс» уже писал ранее. Злоумышленники завладевают СИМ-картой с номером жертвы, обратившись к оператору связи от имени владельца с просьбой выдать новую СИМ-карту взамен утерянной. До этого жертву атакуют непрерывными звонками с целью вынудить ее выключить надоедливый телефон. Существуют и другие приемы. Но, конечно, идеальной для злоумышленников остается ситуация, когда жертва сама выключает телефон.

Особенность Cerberp в том, что при включенном компьютере он полностью его контролирует. Может набирать на клавиатуре необходимые данные и блокировать такую возможность для пользователя. Вирус поддерживает связь с сервером управления, где, собственно, и сидят главные кукловоды — люди. В конце операции «Внедрение» они дадут вирусу реквизиты, суммы и команды зайти от имени пользователя в систему ДБО и произвести платеж. По данным экспертов по компьютерной безопасности, вся операция по выводу денег с банковского счета после получения команды из «центра» занимает от одной до двух минут.

Лет пять назад вирусы использовали только для воровства необходимых паролей доступа, а деньги со счетов жертв преступники перечисляли уже самостоятельно, заходя на банковские серверы со своих компьютеров. Но с годами разработчики систем «Клиент—банк» внедрили ряд доработок, и банковская часть системы стала контролировать среду выполнения, как-то: версия и тип операционной системы, конфигурация компьютера, версия браузера и ряд других параметров, всего от 50 до 250 в зависимости от настроек. Если вдруг эти комбинации менялись, банковский работник связывался с клиентом и уточнял, не перенастраивал ли тот свой компьютер. Таким образом, если клиент пользуется системой «Клиент—банк» только из одного (например, служебного) места, а банк выставил параметры мониторинга среды подключения клиента, обычное воровство паролей не срабатывает.

Раньше воровали и ключи электронной цифровой подписи (ЭЦП). Ведь они хранились в виде обычного файла. В последние несколько лет разработчики средств защиты предложили вместо файлов с ключами ЭЦП использовать защищенные носители с неизвлекаемыми ключами — устройство генерации ЭЦП, с виду похожее на обычную флешку. Принцип подписания платежного документа сводится к тому, что некие параметры платежки направляются на это электронное устройство, вставленное в USB порт. Устройство запрашивает ввод ПИН-кода. Пользователь вводит код, а устройство считывает отправленные ему данные, накладывает внутри себя на него цифровую подпись и в готовом виде выдает обратно в систему «Клиент—банк». Сами ключи шифрования вшиты в микроконтроллер, который принципиально не поддерживает режим чтения с него. Эти ключи нигде не фигурируют, кроме как внутри контроллера. Поэтому скопировать их невозможно.

Хорошая зашита, на первый взгляд. Но не от Cerberp. Учитывая изложенную выше политику безопасности: контроль конфигурации компьютера пользователя со стороны банков, неизвлекаемость цифровой подписи (правда, в Украине эти методы защиты на самом деле еще мало где применяются), Cerberp способен применять обходные тактики. В первом варианте фиктивный документ уже подготовлен, и ожидается, когда бухгалтер зайдет в систему «Клиент—банк», чтобы провести свои обычные платежи. Тогда между прочим в общий поток документов вирусом будет вброшена мошенническая платежка, подписанная легитимной подписью в момент, когда бухгалтер собственноручно введет ПИН-код доступа к устройству наложения электронной подписи. Причем, поскольку вирус контролирует весь банковский трафик через себя и свою подставную страницу, бухгалтеру он не покажет фиктивный документ. Другой вариант, когда на этапе наблюдения вирус перехватывает ПИН-код и в дальнейшем уже сам введет его, когда понадобится. Главное, чтобы бухгалтер оставил устройство генерации ЭЦП вставленным в компьютер.

Раньше банковские трояны воровали все данные к себе в центры управления, а затем злоумышленники с других компьютеров выходили на связь с банком. Теперь эта тактика заменяется новой — получение полного тайного контроля над компьютером жертвы с дальнейшей незаметной манипуляцией платежами с его рабочего места.

Защита от Cerberp

Универсального средства защиты, увы, не существует. Конечно, нужно иметь хороший антивирус с регулярным обновлением. Но если банковский троян запускают на дело, то его проверяют антивирусными программами на срабатывание. Вероятность того, что антивирус защитит на этапе заражения, невысока. Спустя месяц-два вероятность выше. Правда, за это время могли уже и счета почистить. К сожалению, возможно появление все новых разновидностей одного и того же вируса, которые быстро не идентифицируются антивирусными программами. Известны вирусы, которые занимались промышленным и финансовым шпионажем и не были обнаружены минимум в течение года.

Другое средство — firewall, или межсетевой экран. При определенных настройках так называемого поведенческого анализа firewall-ы сторонних разработчиков (имеется в виду не встроенный в Windows) способны блокировать проникновение одних процессов в другие, выход без разрешения в интернет и ряд других подозрительных действий. Это создаст значительные затруднения для вирусов, которые не определяются по сигнатурному анализу антивирусными программами.

Третий способ — это применение при работе с системами ДБО принципа: «Подписываю то, что вижу». Если такой режим поддерживается вашим банком, то при наложении цифровой подписи необходимо ввести параметры платежа — сумму, часть номера счета, бенефициара. Таким образом, цифровая подпись привязывается к конкретной платежке, параметры которой бухгалтер вводит с распечатки инвойса. Если вирус перехватывает ваш настоящий документ (и на экране отображает именно его), а на подпись тайно отправляет свой фиктивный, то при подписании фиктивного будут использованы данные платежа с настоящего документа. При прохождении проверки подписи в банке такой платеж будет отбракован — реквизиты в платеже не совпадут с реквизитами в зашифрованной подписи. В данном случае, несмотря на старания вируса, платеж не пройдет.

Для банков хорошие результаты дает использование систем антифрод-мониторинга. Такие системы в автоматическом режиме накапливают и анализируют деятельность клиентов и в случае подозрительной активности подают сигнал тревоги или сразу блокируют операцию. По заверениям разработчиков систем безопасности из разных компаний, такие системы предупреждают 80—90 % попыток несанкционированного списания средств.

В идеале было бы правильно отойти от практики использования шифровальных устройств, имеющих с компьютером общий интерфейс. За рубежом для подписания документа часто используют цифровые подписи, генерируемые на устройствах в виде брелков (токенов) или в форме калькулятора. Ввел ключевые параметры платежа, получил ответную комбинацию цифровой подписи и вбил ее в «Клиент—банк». Повлиять на девайс в руках вирусы пока не умеют. В условиях украинского законодательства существуют требования применения ЭЦП, поэтому использование описанных западных устройств в виде токенов хоть и возможно, но, с юридической точки зрения, только в качестве дополнительного элемента защиты. Хотя для сохранности денег неважно, как его называть. Главное — чтобы деньги не украли.


Заметили ошибку?
Выделите и нажмите Ctrl / Cmd + Enter