Biznes i Finanse

Wirus w aplikacji zdalnego zarządzania bankiem

  • Fot. MNiSW

Ammy Admin to system do zdalnej administracji systemów sieciowych oraz pracy w środowisku wirtualnego biura. Rozwiązanie posiada swoją darmową okrojną wersję dostępną dla użytkowników niekomercyjnych. Wszystko wskazuje na to, że w wyniku licznych włamań na stronę producenta oprogramowania, pliki instalacyjne w jednej z wersji zostały podmienione na zainfekowaną wersję, która pozwalała hakerom na dostęp spoza zaufanej sieci.

Za niektóre wcześniejsze włamania odpowiadała grupa Lurk, której członkowie nie dalej jak miesiąc temu zostali zatrzymani przez stróżów prawa. Jednak ostatnia zainfekowana wersja, według eskpertów z Kaspersky Lab, nie ma nic wspólnego z poprzedniczką.

Oprócz luki zawartej w programie, którą hakerzy umiejętnie wykorzystali kradnąc z kont bankowych pieniądze, włamali się oni na stronę firmy odpowiedzialnej za sprzedaż aplikacji. Według securlist, hakerzy mieli zmodyfikować część kodu PHP odpowiedzialnego za przekierowanie pobierania do serwera, na którym znajdowała się złośliwa wersja oprogramowania.

Ten typ ataku wykorzystanego przez hakerów w krajach anglosaskich jest nazywany – Watering Hole wykorzystujący elementy inżynierii społecznej, w której użytkownicy są śledzeni przez hakerów, w celu sprawdzenia najczęściej odwiedzanych przez nich stron. Jest to zaawansowana technika, które wymaga dużej wiedzy oraz umiejętności hakerskich, jest stosowana dopiero kiedy tradycyjne metody phishingu lub spearphisingu nie dają oczekiwanych efektów. Tak było i w tym przypadku, administrator odpowiedzialny za aplikacje Ammy Admin w banku odwiedzał często właśnie stronę firmy, prawdopodobnie w celu aktualizacji.

Program antywirusowy nie wykrył żadnej niezgodności, w dodatku gdyby nawet je wykrył, to według Kaspersky Lab potwierdzenie zablokowania należało by do użytkownika, który najpewniej zaakceptowałby potrzebne mu do pracy oprogramowanie.

W wyniku działalności grupy Lurk odpowiedzialnej m.in. za stworzenie zainfekowanej wersji Ammy Admin z kont banków, instytucji finansowych oraz innych organizacji wykradzione zostało około 45 mln dolarów. Jednak problemy związane z zainfekowanym oprogramowaniem nie zostały zlikwidowane wraz z aresztowaniem osób z Lurk 1 czerwca tego roku. Jeszcze tego samego dnia pojawił się nowy rodzaj złośliwego oprogramowania z trojanem Fareit, które oprócz możliwości dostania się do zabezpieczonej sieci wykrada dane osobowe użytkowników sieci.

Czytaj też: Eksperci znaleźli podatności w systemach sterujących BMW

Komentarze