Киберқылмыскерлер бухгалтерлер мен заңгерлерге арналған танымал сайттарды бұзды.

2017 жылдың маусым айында Ресей астанасының компанияларының біреуінің шотынан ақша ұрланды. Фирманың кеңсесіне келген Group-IB криминалистері қатты дискіні сараптамаға алып, криминалистикалық зерттеу жүргізді. Бізге сол күні фирманың қызметкері Internet Explorer браузерін ашып, «Шетелдік компаниялардан алынатын кірістердің ЖТКС қашан төлеу» деген сұрау салуды тергені белгілі болды. Сілтемелердің біреуі www.glavbukh.ru сайтына әкелетін болды. Хронология бойынша пайдаланушы браузерді 03:16-да ашқаны, шамалы уақыттан кейін glavbukh.ru сайтына кіргені, содан кейін санаулы секундтың ішінде, 03:29-да, зиянды скрипт іске қосылып, нәтижесінде пайдаланушының компьютеріне Buhtrap банктік троянды жүктегені байқалады. Қылмыскерлер шотқа қашықтықтан қолжетімділік алып, ақшаны шығарып алды.

Buhtrap торянын бірнеше жылдар бойы әртүрлі қылмыстық топтар компаниялардан, банктерден ақша ұрлау үшін пайдаланған. Buhtrap тобы 2015 жылғы тамыздан бастап 2016 жылғы ақпанға дейін 1,8 миллиард рубль ($25 млн) ұрлап, ресей банктеріне 13 сәтті шабуыл жасады. Екі жағдайда ұрланған сома банктің жарғылық капиталынан 2,5 есе артық болды.

Buhtrap бастапқы кодтары 2016 жылдың басында хакерлік форумда ашық қолжетімді түрінде жарияланды, содан кейін бағдарламаны басқа қылмыскерлер заңды тұлғаларға шабуыл жасау үшін пайдаланды. Схемасы біз www.glavbukh.ru-ға байланысты байқаған жағдайға ұқсас болды:
пайдаланушы бұзылған заңды ресурсқа кіріп, одан оны жасырын режимде эксплойттар жинағы бар серверге жіберу орындалды – және осалдықтар табылған жағдайда, веб-браузерде өз кезегінде кейін банктік троянды жүктейтін бірегей жүктегішті жүктейтін PowerShell скрипті орындалатын. Бірақ ол бастапқыда іс-қимылды мына алгоритм бойынша жасаған болатын: зақымдалған машинаны алдағы уақытта пайдаланудың тартымдылығын – атап айтқанда, онымен банктік қызметтерді қашықтықтан көрсету (БҚҚ) жүйелерімен жұмыс жүзеге асырылатынын тексеру. Ол БҚҚ-ның орындалатын файлдарын іздеуді, директорийлер мен веб-браузердің тарихын тексеруді жүзеге асырды. Осы тармақтардың кем дегенде біреуі іске қосылған кезде Buhtrap жүктелетін.

Бас бухгалтерге не болды?

Маусым айындағы кейсті тексерген кезде біз www.glavbukh.ru сайтына кіргенде кейбір пайдаланушыларға банктік троян жүктелгенін түсіндік. Біздің мамандар зиянды PowerShell-скриптін жүктеу қайдан орындалғанын анықтауға кірісіп, оның жүктелген көзін тез уақыт ішінде тапты - virtual-earth.de және tsitu.be ресурстары. Іс жүзінде бұл қылмыскерлер пайдаланған бос сайттар. Арнайы техникаларды пайдалана отырып, біз аталған ресурстарға тағы келетін трафикті айқындап, Ресей мен Украинадағы 16 сайтты анықтадық. Әрине, бұл тізім толық емес, бірақ әсерлі: оған федералдық саяси-қоғамдық басылымдар және бухгалтерлерге, заңгерлерге, директорларға арналған бейінді сайттар да кіреді.

Трафикті, яғни кірушілерді танымал сайттардан зиянды ресурстарға арнайы адамдар – трафферлер бағдарлайды. Олар трафикті жарнамалық сайттарға жіберген кезде оңай схемалар арқылы және ақша ұрлайтын трояндар жүктелетін зиянды ресурстарға «трафты құйған» кезде күрделі схемалар арқылы ақша таба алады. Бизнес-трафик қымбат бағаланады, сондықтан қылмыскерлер банктік троянды таратуға ниеттенсе, оларға порно-сайттардың трафигі емес, банктің ресурсына кіретін ауқатты – бухгалтерлер мен заңгерлер керек. Ал Buhtrap трояны нақты корпоративтік секторға арналған.


Ақпарат көзі: https://www.group-ib.ru/blog/buhtrap