Οι ομάδες αυτές επιτίθενται σε χρηματοοικονομικούς οργανισμούς, χρησιμοποιώντας συγκεκαλυμμένες αναγνωρίσεις, παρόμοιες με αυτές των επιθέσεων APT, καθώς και προσαρμοσμένα κακόβουλα προγράμματα, σε συνδυασμό με νόμιμα λογισμικά και νέες, καινοτόμες μεθόδους για να προχωρήσουν σε εξαργύρωση χρημάτων.
Η ψηφιακή εγκληματική ομάδα Metel χρησιμοποιεί πολλές τεχνικές. Το ενδιαφέρον γύρω από τη δράση της εστιάζεται κυρίως στη χρήση μιας εξαιρετικά έξυπνης μεθόδου δράσης. Συγκεκριμένα, η ομάδα αυτή αποκτά τον έλεγχο συσκευών και συστημάτων στο εσωτερικό μιας τράπεζας, οι οποίες έχουν πρόσβαση σε χρηματικές συναλλαγές (π.χ. τηλεφωνικό κέντρο, υπολογιστές υποστήριξης), ώστε να αυτοματοποιήσει την επαναφορά των συναλλαγών από τα μηχανήματα ΑΤΜ.
Η δυνατότητα επαναφοράς εξασφαλίζει ότι το λογιστικό υπόλοιπο των χρεωστικών καρτών παραμένει το ίδιο, ανεξάρτητα από τον αριθμό των συναλλαγών που έχουν πραγματοποιηθεί μέσω ATM. Στις περιπτώσεις που έχουν παρατηρηθεί μέχρι σήμερα, η εγκληματική ομάδα κλέβει χρήματα ως εξής: Κυκλοφορώντας τη νύχτα, κάνει διάφορες στάσεις σε Ρωσικές πόλεις και αδειάζει τα ΑΤΜ διάφορων τραπεζών, χρησιμοποιώντας κατ’επανάληψη τις ίδιες χρεωστικές κάρτες που έχουν εκδοθεί από την «παραβιασμένη» τράπεζα. Με αυτό τον τρόπο, εξαργυρώνουν τα χρήματα που θέλουν μέσα σε μία μόλις νύχτα.
Κατά τη διάρκεια της εγκληματολογικής έρευνας, οι ειδικοί της Kaspersky Lab ανακάλυψαν ότι οι υπεύθυνοι πίσω από την εκστρατεία Metel επιτυγχάνουν την αρχική «μόλυνση» των συστημάτων, μέσω ειδικά διαμορφωμένων spear-phishing email, που περιέχουν κακόβουλα συνημμένα αρχεία, καθώς και μέσω του πακέτου exploit Niteris, με στόχο τα τρωτά σημεία στο πρόγραμμα περιήγησης του θύματος. Μόλις εισβάλουν στο δίκτυο, οι ψηφιακοί εγκληματίες χρησιμοποιούν νόμιμα εργαλεία και εργαλεία δοκιμών διείσδυσης για να κινηθούν κρυφά, παραβιάζοντας τον τοπικό domain controller και – εν τέλει – εντοπίζοντας και ελέγχοντας τους υπολογιστές των υπαλλήλων της τράπεζας, οι οποίοι είναι αρμόδιοι για την επεξεργασία των πληρωμών με κάρτα.
Η ομάδα Metel παραμένει ενεργή και η έρευνα για τις δραστηριότητές της βρίσκεται σε εξέλιξη. Μέχρι στιγμής, δεν έχουν εντοπιστεί επιθέσεις εκτός Ρωσίας. Ωστόσο, υπάρχουν υπόνοιες ότι η «μόλυνση» είναι πολύ πιο διαδεδομένη. Για τον λόγο αυτό, προτείνεται η πραγματοποίηση προληπτικών ελέγχων από τις τράπεζες.
Και οι τρεις συμμορίες που εντοπίστηκαν κάνουν στροφή προς τη χρήση κακόβουλου λογισμικού που συνοδεύεται από νόμιμο λογισμικό, για τις δόλιες δραστηριότητές τους.
Γιατί να δημιουργήσουν πολλά προσαρμοσμένα εργαλεία κακόβουλου λογισμικού, όταν πολλά νόμιμα μέσα μπορούν να είναι εξίσου αποτελεσματικά, ενεργοποιώντας έτσι πολύ λιγότερους συναγερμούς;
Ωστόσο, όσον αφορά τις προσπάθειες απόκρυψης, η ομάδα GCMAN πηγαίνει ακόμη πιο πέρα. Μερικές φορές, μπορεί να επιτεθεί με επιτυχία, χωρίς να χρησιμοποιήσει οποιοδήποτε κακόβουλο πρόγραμμα, «τρέχοντας» μόνο νόμιμα εργαλεία και εργαλεία δοκιμών διείσδυσης. Στις περιπτώσεις που έχουν διερευνηθεί από τους ειδικούς της Kaspersky Lab, η εκστρατεία GCMAN χρησιμοποιούσε τα βοηθητικά προγράμματα Putty, VNC και Meterpreter για να κινείται κρυφά στο δίκτυο έως ότου οι επιτιθέμενοι φτάσουν σε ένα μηχάνημα, το οποίο θα μπορούσε να χρησιμοποιηθεί για τη μεταφορά χρημάτων σε υπηρεσίες ηλεκτρονικών νομισμάτων, χωρίς να προειδοποιηθούν άλλα τραπεζικά συστήματα.
Σε μια από τις επιθέσεις που διερεύνησε η Kaspersky Lab, οι ψηφιακοί εγκληματίες παρέμειναν στο δίκτυο για ενάμιση χρόνο πριν προχωρήσουν στην κλοπή. Τα χρήματα μεταφέρονταν σε ποσά ύψους περίπου $200. Το συγκεκριμένο ποσό είναι το ανώτατο όριο για ανώνυμες πληρωμές στη Ρωσία. Κάθε λεπτό, ο χρονοπρογραμματιστής CRON έστελνε ένα κακόβουλο σενάριο και ακόμα ένα ποσό μεταφερόταν σε λογαριασμούς ηλεκτρονικών νομισμάτων, οι οποίοι προορίζονταν για ξέπλυμα χρήματος. Οι εντολές συναλλαγής στέλνονταν απευθείας στην upstream πύλη πληρωμών της τράπεζας και δεν εμφανίζονταν πουθενά στα εσωτερικά συστήματά της.
Τέλος, το Carbanak 2.0 σηματοδοτεί την επανεμφάνιση της APTεπίθεσης Carbanak. Στο πλαίσιο αυτής της εκστρατείας, χρησιμοποιούνται τα ίδια εργαλεία και τεχνικές, αλλά το προφίλ των θυμάτων είναι διαφορετικό, ενώ παρατηρούνται και καινοτόμοι τρόποι εξαργύρωσης χρημάτων.
Οι στόχοι της εκστρατείας Carbanak 2.0 δεν περιορίζονται μόνο στις τράπεζες, αλλά εκτείνονται και στις οικονομικές διευθύνσεις και τα λογιστήρια των οργανισμών που εμφανίζουν ενδιαφέρον για τους ψηφιακούς εγκληματίες. Σε μια χαρακτηριστική περίπτωση που διερεύνησε η Kaspersky Lab, η συμμορία Carbanak 2.0 απέκτησε πρόσβαση σε ένα χρηματοπιστωτικό οργανισμό και προχώρησε στην αλλαγή των διαπιστευτηρίων ιδιοκτησίας μιας μεγάλης εταιρείας. Οι πληροφορίες τροποποιήθηκαν ώστε να παρουσιάζεται ένας «μεσάζοντας» ως μέτοχος της εταιρείας, εμφανίζοντας τα δικά του στοιχεία ταυτότητας.
Μετά τις τελευταίες εξελίξεις, η Kaspersky Lab καλεί όλους τους οργανισμούς να ελέγξουν προσεκτικά τα δίκτυά τους για την παρουσία των Carbanak, Metel και GCMAN. Σε περίπτωση εντοπισμού, οι οργανισμού καλούνται να απομακρύνουν τη «μόλυνση» από τα συστήματά τους και να αναφέρουν την εισβολή στις διωκτικές αρχές.