Αρχικά οι ψηφιακοί εγκληματίες «μόλυναν» τους υπολογιστές της εταιρείας, στέλνοντας ένα email που περιείχε ένα κακόβουλο συνημμένο αρχείο, το οποίο φαινόταν να προέρχεται από Δημόσια Οικονομική Υπηρεσία και για να αποκτήσουν απομακρυσμένη πρόσβαση στον υπολογιστή του λογιστή της εταιρείας, χρησιμοποίησαν μια τροποποιημένη έκδοση ενός νόμιμου προγράμματος.
Η τράπεζα που συνεργάζεται με την εταιρεία που βρέθηκε στο στόχαστρο, μπλόκαρε την απόπειρα να πραγματοποιηθεί η συναλλαγή των $130.000. Ωστόσο, οι ψηφιακοί εγκληματίες κατόρθωσαν να πραγματοποιήσουν με επιτυχία μια μεταφορά $8.000, δεδομένου ότι το ποσό αυτό ήταν πολύ μικρό για να προκαλέσει «συναγερμό» στην τράπεζα και δεν απαιτούταν πρόσθετη επιβεβαίωση από το λογιστήριο του πελάτη.
Τα εργαλεία που χρησιμοποίησαν οι ψηφιακοί εγκληματίες
Ωστόσο, αυτό δεν ήταν το μόνο κακόβουλο πρόγραμμα που εντοπίστηκε στον υπολογιστή του θύματος. Περαιτέρω έρευνα έδειξε ότι ακόμα ένα backdoor (Backdoor.Win32.Agent) είχε «κατέβει» στον υπολογιστή, με τη βοήθεια του Backdoor.Win32.RMS. Οι ψηφιακοί εγκληματίες το χρησιμοποίησαν για να αποκτήσουν απομακρυσμένη Virtual Network Computing πρόσβαση στον υπολογιστή. Αξίζει να σημειωθεί ότι στοιχεία του τραπεζικού Trojan Carberp εντοπίστηκαν στον κώδικα του Backdoor.Win32.Agent. Ο πηγαίος κώδικας του Carberp είχε δημοσιευτεί νωρίτερα μέσα στη χρονιά.
Αφού απέκτησαν τον έλεγχο του υπολογιστή, οι ψηφιακοί εγκληματίες δημιούργησαν μια παράνομη εντολή πληρωμής στο απομακρυσμένο τραπεζικό σύστημα. Για να επαληθεύσουν την εντολή, χρησιμοποίησαν τη διεύθυνση IP του υπολογιστή του λογιστή, η οποία θεωρήθηκε αξιόπιστη από την τράπεζα. Αλλά πώς οι ψηφιακοί εγκληματίες πήραν στα χέρια τους τους κωδικούς που χρησιμοποιούνται από το λογιστή για συναλλαγές; Οι ειδικοί συνέχισαν την έρευνά τους και εντόπισαν ένα ακόμη κακόβουλο πρόγραμμα, το Trojan-Spy.Win32.Delf. Αυτό ήταν το keylogger που υπέκλεψε τα δεδομένα που εισάγονταν από το πληκτρολόγιο. Με αυτόν τον τρόπο, οι ψηφιακοί εγκληματίες απέσπασαν τον κωδικό πρόσβασης του λογιστή και ήταν σε θέση να προχωρήσουν στην παράνομη συναλλαγή.
Επιπλέον θύματα
Όταν η έρευνα βρισκόταν κοντά στο τελικό της στάδιο, οι ειδικοί της Kaspersky Lab ανακάλυψαν ένα ακόμα περίεργο γεγονός. Η διαχείριση όλων των κακόβουλων προγραμμάτων που εμπλέκονταν στην επίθεση, γινόταν από C&C servers, των οποίων οι διευθύνσεις IP ανήκαν στο ίδιο υποδίκτυο. Κατά την υλοποίηση του υποδικτύου, οι ψηφιακοί εγκληματίες υπέπεσαν σ’ ένα σφάλμα που επέτρεψε στους ειδικούς της Kaspersky Lab να ανακαλύψουν τις διευθύνσεις IP κι άλλων υπολογιστών που είχαν «μολυνθεί» με το Trojan-Spy.Win32.Delf. Στις περισσότερες περιπτώσεις, αποδείχτηκε ότι οι υπολογιστές αυτή ανήκουν σε μικρές και μεσαίες επιχειρήσεις. Η Kaspersky Lab ήρθε αμέσως σε επαφή με τους ιδιοκτήτες των «μολυσμένων» υπολογιστών και τους προειδοποίησε για την απειλή.
«Από τεχνική σκοπιά, δεν μπορούμε να πούμε ότι το περιστατικό αυτό αποτελεί παράδειγμα επίθεσης που εστιάζει σε μια συγκεκριμένη χώρα, παρότι σημειώθηκε στη Ρωσία. Στην πραγματικότητα, αυτό το είδος ψηφιακού εγκλήματος διαφέρει ελάχιστα από χώρα σε χώρα. Σε όλο τον κόσμο, οι περισσότερες επιχειρήσεις χρησιμοποιούν εκδόσεις των Windows και του Microsoft Office, στις οποίες ενδεχομένως να υπάρχουν ευπάθειες που δεν έχουν αντιμετωπιστεί με κάποιο patch. Επίσης, είναι πολύ μικρές οι διαφορές στον τρόπο αλληλεπίδρασης μεταξύ των οικονομικών τμημάτων και των τραπεζών. Αυτό κάνει πιο εύκολη τη δουλειά των ψηφιακών εγκληματιών που στόχο έχουν να κλέψουν χρήματα μέσω απομακρυσμένων τραπεζικών συστημάτων», δήλωσε ο Mikhail Prokhorenko, αναλυτής malware της Global Emergency Response Team της Kaspersky Lab.
Για τη μείωση του κινδύνου κλοπή χρημάτων από online τραπεζικούς λογαριασμούς, οι ειδικοί της Kaspersky Lab συμβουλεύουν τις επιχειρήσεις που χρησιμοποιούν αυτά τα συστήματα, να υιοθετήσουν αξιόπιστες και πολυπαραγοντικές πιστοποιήσεις (π.χ. χρήση ειδικών αποδεικτικών, passwords μιας χρήσης που παρέχονται από την τράπεζα κλπ.). Επίσης, συνιστάται η άμεση και τακτική ενημέρωση του λογισμικού που είναι εγκατεστημένο στους εταιρικούς υπολογιστές (αυτό είναι ιδιαίτερα σημαντικό για τους υπολογιστές που χρησιμοποιούνται στις οικονομικές διευθύνσεις), η εγκατάσταση λύσεων ασφάλειας, η εκπαίδευση των εργαζόμενων γύρω από τα σημάδια των επιθέσεων και η άμεση ανταπόκριση απέναντι σε τέτοια περιστατικά.