كاسبرسكي لاب: مجرمي الاليكترونيات يسرقون نصف مليون يورو في غضون أسبوع

اكتشف خبراء فريق البحث والتحليل العالمي في كاسبرسكي لاب دليلا يثبت شن هجمة مستهدفة على عملاء مصرف أوروبي كبير.

يأتي ذلك وفقا لسجل الدخول الذي وجد في خادم استخدم من قبل المهاجمين، يتضح أنه في غضون أسبوع واحد سرق المجرمون الالكترونيون أكثر من نصف مليون يورو من الحسابات في المصرف. واكتشفت أول علامة على ذلك في العشرين في يناير هذا العام عندما كشف خبراء كاسبرسكي لاب عن وجود خادم الأوامر والمراقبة في الشبكة. وكانت لوحة المراقبة في الخادم قد سجلت وجود أثر لبرنامج حصان طروادة استخدم في سرقة المال من حسابات عملاء المصرف.
كما كشف الخبراء عن سجلات خاصة بالمعاملات على الخادم تضمنت معلومات حول حجم المال المسحوب ومن أي حسابات تم سحبه. إجمالا تم تسجيل أكثر من 190 ضحية للسرقة أغلبهم في تركيا وإيطاليا. وترواحت المبالغ المسروقة من كل حساب في المصرف وفقا للسجلات من 1700 يورو وحتى 39 ألف يورو.
واستمرت الحملة لأسبوع واحد على الأقل حتى اكتشف خادم الأوامر والمراقبة، وكانت قد بدأت على الأرجح في 13 يناير 2014. وفي ذلك الحين تمكن المجرمون الالكترونيون من الاستيلاء على أكثر من 500 ألف يورو. بعد مضي يومين من اكتشاف فريق البحث والتحليل العالمي بكاسبرسكي لاب لخادم الأوامر والمراقبة، أزال المجرمون الالكترونيون كل الأدلة والأثار التي قد تساعد الخبراء في تتبعهم. إلا أن الخبراء يعتقدون أنه من المحتمل أن التغييرات في البنية التحتية التقنية قد تكون مرتبطة بالحملة الخبيثة وعلى الأرجح تشير إلى انتهاء حملة Luuuk.
وقال فيسينتي دياز، الباحث الأمني المبدئي بكاسبرسكي لاب في هذا الصدد: “بعد فترة وجيزة من اكتشافنا لخادم الأوامر والمراقبة هذا، اتصلنا بخدمة أمن المصرف ووكالات إنفاذ القانون وقدمنا جميع الأدلة لهم”.

استخدام الأدوات الخبيثة

في حالة Luuk، هناك ما يجعل الخبراء يعتقدون أن البيانات المالية الهامة قد تم اعتراضها تلقائيا وأن المعاملات المالية الاحتيالية تمت فور دخول الضحية إلى حسابه المصرفي على الانترنت.
وأضاف فيسينتي دياز: “لم نجد في خادم الأوامر والمراقبة الذي اكشتفناه أي معلومات حول البرنامج الخبيث الذي استخدم في الحملة. إلا أن الكثير من نسخ ZeuS (Citadel، SpyEye، IceIX وغيرها) تتمتع بالقدرات المطلوبة. نحن نعتقد أن البرمجية الخبيثة التي استخدمت في الحملة قد تكون بطعم ZeuS وتستخدم أدوات ويب معقدة للتحايل على الضحايا”.

خطط للاستحواذ على المال

تم تحويل المال إلى حسابات المجرمين الالكترونيين بطريقة لم نعتدها. لقد لاحظ خبراؤنا خاصية مميزة في تنظيم ما يسمى ” drops” أو “money-mules”، حيث يحصل المشاركون في عملية الاحتيال على بعض من المال المسروق عبر حسابات أنشئت خصيصا لهذا الغرض ويستلمونها عبر الصراف الآلي. هناك بعض الأدلة التي تشير إلى مجموعات “drop” مختلفة عديدة كلفت بمبالغ مختلفة من المال. إحدى هذه المجموعات كانت مكلفة بتحويل مبالغ من 40 إلى 50 ألف يورو، مجموعة أخرى كلفت بمبالغ من 15 إلى 20 ألف يورو والثالثة بمبالغ لا تتجاوز الألفي يورو.
وقال فيسينتي دياز: “هذه الاختلافات في مبالغ من المال التي كلفت بها كل مجموعة قد تكون دليلا على مستوى الثقة بكل مجموعة. نحن نعلم أن المشاركين في هذه الخطط عادة ما يغشون شركاءهم في الجريمة ويختفون وبحوزتهم المال المقرر صرفه نقدا. من المحتمل أيضا أن يحاول مدراء حملة Luuuk التقليل من الخسائر عبر منح مجموعات مختلفة مستويات ثقة مختلفة: كلما كان المبلغ أكبر، كلما كانت الثقة أكبر في المجموعة المكلفة”.
وكان خادم الأوامر والمراقبة المرتبط بحملة Luuuk قد أغلق بعد فترة قصيرة من بدء التحريات. إلا أن مستوى تعقيد عملية “Man-in-the-Browser” يشير إلى أن المهاجمين سيواصلون البحث عن ضحايا جدد لهذه الحملة. ويشارك خبراء كاسبرسكي لاب في التحريات الجارية حول نشاط Luuuk.

الحل الأمني ضد Luuuk

تشير الأدلة المكتشفة من قبل خبراء كاسبرسكي لاب إلى أن الحملة كانت قد أعدت من قبل مجرمين محترفين. بيد أن الأدوات الخبيثة التي استخدمت في سرقة المال بالإمكان مواجهتها بواسطة تقنيات أمنية. على سبيل المثال طورت كاسبرسكي لاب منتجها Kaspersky Fraud Prevention – وهو منصة متعددة المستويات تعمل على مساعدة المنظمات المالية في حماية عملائها من الاحتيال المالي عبر الانترنت. وتتضمن المنصة مكونات من شأنها أن تحمي أجهزة العميل من أنواع عديدة من الهجمات بما فيها هجمات “Man-in-the-Browser” إلى جانب الأدوات التي بإمكانها مساعدة الشركات في الكشف عن المعاملات الاحتيالية وتعطيلها.