2015年、金銭を銀行から直接奪うサイバー犯罪者の増加が見られました。いくつかの犯罪者集団がAPTのツールや手法を身に付け、少なくともロシアの大手銀行29行の「ポケット」に直接手を突っ込んでいることが確認されています。
被害に遭った銀行からの要請を受け、Kaspersky Labのグローバル調査分析チーム(GReAT)は調査に乗り出しました。その中で、3つの異なるハッカー集団が銀行に莫大な経済的損失を与えていたことが明らかになりました。Security Analyst Summit 2016にて、GReATのエキスパートが調査報告を発表しています(安全上の理由から、被害に遭った銀行の名前は非公表)。以下、その概要を見ていきます。
狙いはATM
Metel(別名Corkow)という名を持つバンキング型トロイの木馬は、2011年に初めて発見されましたが、当時はオンラインバンキングシステムの利用者を標的としていました。Metelを操る犯罪者集団は、2015年になると銀行、特にATM機を狙うようになりました。巧妙で悪意ある活動を通じ、一般的なクレジットカードの利用限度額を無制限に変更していったのです。偽札を印刷するよりも、はるかに効率的です。
では、どのように攻撃は進行したのでしょうか?
この犯罪者集団は、悪意ある実行ファイルを添付したスピアフィッシングメールや、ブラウザーの脆弱性を利用して、銀行職員のコンピューターを次々と感染させました。ネットワークへの侵入に成功すると、目的のコンピューターに到達するまで、正規のソフトウェアを使用して他のコンピューターをハッキングしていきました。目的のコンピューターとは、現金取引にアクセスできるコンピューターのことで、たとえばコールセンターのオペレーターやサポートチームのコンピューターなどです。
目的のコンピューターへのアクセスを達成した犯罪者たちは、侵入した銀行のカードを使って別の銀行のATMから現金を引き出しますが、引き出しのたびに、感染システムでは取引が自動的にロールバックされました。そのため、カードの残高は変わらないままで、ATMに現金がある限り延々と引き出しが可能でした。彼らはまた、同じような手口で別のATM機でも現金を引き出していました。
当社で把握する限り、この犯罪者集団は比較的小規模で、構成メンバーは10人以下です。メンバーの中にはロシア語を話す人物がおり、ロシア以外での感染は検知されていません。この犯罪者たちは新しいカモを探しながら、現在も活動を続けています。
狡猾な犯罪者
別の犯罪者集団GCMANも似たような手口を使っていましたが、こちらはATMから現金を奪うのではなく、現金を電子マネーサービスに送金する方法をとっていました。
GCMANのメンバーは、悪意あるファイルを添付したスピアフィッシングメールを使ってネットワークへ侵入し、人事や経理の担当者のコンピューターに潜り込んだ後、システム管理者がログインするのを待ちます。時には、作戦を進めるために、Microsoft Wordや1C(ロシアで広く使われている会計用プログラム)をクラッシュさせることもありました。ユーザーがサポートを依頼し、システム管理者が問題解決にやってきたところで、管理者のパスワードを盗むのです。
続いて彼らは、さまざまな電子マネーサービスに現金をこっそり送金可能なコンピューターが見つかるまで、銀行内のネットワークを横断的に探し回ります。そのために、正規ソフトウェアや、どこにでもある侵入テストツール(Putty、VNC、Meterpreterなど)を使うこともありました。
こうした取引は、わずかな金額を1分ごとに1度自動送金するcronスクリプトを介して実行されました。1回あたりの金額は200ドル程度。ロシアではこれが匿名金融取引の上限額なのです。特筆すべきは、犯罪者たちが非常に慎重であったこと。あるケースでは、1年半にわたってネットワークにこっそりと居座り、多数のデバイスやアカウントを密かにハッキングしていました。
当社で把握する限りでは、GCMANはわずか1人か2人のロシア語話者から成る非常に小規模なグループです。
Carbanakふたたび
Carbanakは、2013年からインターネット上で活動しているグループです。姿を消したかと思えば、いつの間にか新しいハッキング計画を引っさげて戻ってきます。最近は攻撃の対象を拡大し、銀行だけでなく、目を付けた組織の財務部門にも手を出すようになっています。このグループはこれまでに、世界中のさまざまな企業から数百万ドルを盗み出しました。その後はしばらく鳴りを潜めていましたが、数か月前、新しい計画を手に再び現れました。
Carbanakグループは、典型的なAPT式のツールと手法を使ってハッキングや盗みを働きます。企業ネットワークへの初期感染には、スピアフィッシングが使われます。フィッシングメールに騙された社員がメールの添付ファイルを開くと、Carbanakの開発したマルウェアがインストールされるという仕組みです。
コンピューターへの侵入に成功すると、Carbanakグループは、システム管理者アカウントへのアクセスを求めて活動します。認証情報を盗み出すと、これを使ってドメインコントローラーをハッキングし、銀行口座から現金を盗むだけでなく、会社所有者に関するデータまで変更してしまいます。
わかっている範囲では、Carbanakはロシア、中国、ウクライナ、他のヨーロッパ諸国出身の犯罪者で構成された、大人数の国際的なグループです。Carbanakの詳細については、こちらの記事をご覧ください。
私は銀行員なのですが、どうすればいいでしょう?
金融機関で働いている方は、常に用心してください。今回の記事で紹介した例からも明らかなように、ある日、サイバー犯罪者をうっかり社内に招き入れてしまうことがあるかもしれません。そんなことをしてしまうのが自分だったらどんなことになるか、考えたくもないことでしょう。そんなことにならないように、次にご紹介する記事を参考になさってください。
カスペルスキー製品はCarbanak、Metel、GCMANが作成した既知のマルウェアをすべて検知し、ブロックします。