​RATANKBA - najnowsze zagrożenie dla przedsiębiorstw

Wszystko zaczęło się od serii ataków hakerskich na polskie banki - wykryły one na swoich terminalach i serwerach nieznane szkodliwe oprogramowanie oraz budzące wątpliwości zaszyfrowane programy lub pliki wykonywalne. Stwierdziły również nasilenie podejrzanych działań w sieci. Szkodliwe oprogramowanie zaatakowało w szczególności systemy, które łączyły się z nietypowymi i odległymi miejscami na świecie, dokąd prawdopodobnie trafiały skradzione dane.

Oprogramowanie, o którym mowa - to RATANKBA. Wykorzystano je nie tylko w atakach na polskie banki, lecz także w serii podobnych incydentów wykrytych w instytucjach finansowych w Meksyku, Urugwaju, Wielkiej Brytanii i Chile.

Jak przebiegały cyberataki?

Banki nie były jedynymi celami cyberprzestępców. Wśród ofiar znalazły się również przedsiębiorstwa z takich branż jak telekomunikacja, doradztwo w dziedzinie zarządzania, informatyka, ubezpieczenia, lotnictwo i edukacja. Kampania nie ograniczała się do Ameryki Północnej i Europy: wiele ataków zaobserwowaliśmy również w regionie Dalekiego Wschodu, zwłaszcza na Tajwanie, w Hongkongu i Chinach.

W kampanii, której ofiarą padły polskie banki, wykorzystano narzędzia i techniki typowe dla ataków ukierunkowanych, z którymi łączą ją takie elementy jak eksploracja w poziomie i rozpoznanie. Przestępcy zastosowali "taktykę wodopoju". Zainfekowali normalne, uważane za bezpieczne serwisy WWW, które często odwiedzają użytkownicy będący ostatecznym celem. W serwisach tych umieścili szkodliwy kod JavaScript. Pobiera on odciski cyfrowe komponentów przeglądarki, a następnie ściąga eksploity z systemów, na których umieszczono szkodliwe oprogramowanie oraz całe zestawy eksploitów (niektóre z tych systemów prawdopodobnie też zostały zainfekowane).

Infekcja przebiega wieloetapowo, z użyciem różnych typów szkodliwego oprogramowania. W ataku użyto wielu serwerów dowodzenia i kierowania. Niektóre z nich również zostały zainfekowane i wykorzystane jako serwery proxy w celu nawiązywania połączeń z infrastrukturą cyberprzestępców.

W jednym z obserwowanych przez nas incydentów szkodliwe oprogramowanie RATANKBA (TROJ_RATANKBA.A), które na początku zostało umieszczone w systemie ofiary, nawiązywało łączność z normalnym i uważanym za bezpieczny (ale zainfekowanym) serwisem WWW (serwis sprzedający aplikacje do urządzeń mobilnych eye-watch[.]in:443). Z serwisu tego pobierane było również narzędzie hakerskie (nbt_scan.exe). Ponadto przejęta domena była wykorzystywana w kampanii jako jedna z platform komunikacji z serwerem C&C.

Inicjator ataku używa oprogramowania RATANKBA w celu zbadania terenu, a w szczególności różnych aspektów komputera-hosta, na który szkodliwe oprogramowanie zostało początkowo pobrane (tj. komputera będącego ofiarą ataku "watering hole"). Chodzi o pozyskanie informacji dotyczących bieżących zadań, domeny, udostępnień, użytkowników, domyślnego połączenia hosta z internetem itp.

Skutki ataków

Liczba ofiar okazała się większa od początkowo szacowanej. Jak informuje nasza sieć Smart Protection Network™, oprócz Ameryki Północnej (głównie Stanów Zjednoczonych), Europy i Ameryki Południowej kampania wyrządziła również duże szkody przedsiębiorstwom na Tajwanie, w Hongkongu, Chinach i Bahrajnie.

Ponadto stwierdziliśmy ataki w Luksemburgu, Francji, na Filipinach, w Japonii, Hiszpanii, Malezji, Norwegii i Rumunii. Podobnie jak w innych regionach, hakerzy uderzyli tu w branżę telekomunikacji (w tym operatorów internetu) i bankowości. Wiele ofiar działa w takich sektorach, jak usługi związane z internetem (np. obsługa centrów przetwarzania danych), doradztwo w dziedzinie zarządzania, informatyka, farmaceutyka, a nawet lotnictwo i edukacja.

Instytucje finansowe mogą chronić swoje sieci za pomocą zaawansowanych rozwiązań, które wykrywają i analizują potencjalne zagrożenia oraz skutecznie reagują na ataki nawet najbardziej zdeterminowanych hakerów.

Autor: Bartłomiej Wodziński - Regional Account Manager w Trend Micro