Projekat ''Blitzkrieg'': Hakeri planirali masovnu pljačku banaka

Vesti, 14.12.2012, 09:23 AM

Proizvođač antivirusa kompanija Mc Afee upozorila je da se narednog proleća, 2013. godine, očekuju hakerski napadi na klijente 30-ak američkih banaka.

Za projekat „Blitzkrieg“ u okviru koga su planirani koordinisani hakerski napadi na američke banke prvi put se čulo u oktobru ove godine. Kriminalac koji koristi nadimak „VorVzakone“ objavio je plan o pljački banaka na jednom tajnom ruskom hakerskom forumu i tom prilikom pozvao zainteresovane da se pridruže projektu. Proklamovani cilj je stvoriti mrežu odvojenih kriminalnih bandi koje će raditi zajedno koristeći isti malver i resurse da bi se došlo do profita.

VorVzakone je tada rekao da će se na meti hakera naći klijenti 30-ak američkih banaka, kao i da će se tokom operacije koristiti Trojanac koji je razvijen još 2008. godine, koji ima više funkcionalnosti od srodnih malevra Zeus ili SpayEye, koji se najčešće koriste za krađu novca sa online bankovnih naloga korisnika banaka.

U oktobru su istraživači RSA, koji su prvi izvestili o postojanju ovog plana, rekli da je Trojanac koji je trebalo da bude udarna pesnica projekta „Blitzkreig“ baziran na kodu starijeg malvera Gozi. RSA je novog Trojanca nazvao Gozi Prinimalka.

Nakon istraživanja i analize malvera Gozi Prinimalka, istraživači firme McAfee potvrdili su ovih dana da je projekat autentičan, da se ne radi o praznoj pretnji, već da je rizik realan.

Izveštaj koji je kompanija objavila u četvrtak otkriva da postoje dve glavne verzije Trojanca Prinimalka: jedna nazvana „nah“ koja datira iz 2008. godine koja potvrđuje verodostojnost tvrdnje hakera VorVzakone da je Trojanac razvijan od 2008. godine, i druga nazvana „gov“ koja se prvi put pojavljuje u aprilu ove godine i to verovatno kao pilot malver projekta „Blitzkrieg“.

Prema istraživanju McAfee-ja, u starijim kampanjama napada u kojima je korišćena verzija „nah“ uglavnom su korišćeni serveri za komadnu i kontrolu u Ukrajini, dok su novije kampanje koristile „gov“ verziju Trojanca i servere u Rumuniji. Prva takva kampanja sa „gov“ verzijom Trojanca Prinimalka počela je u avgustu ove godine, a najnovija u oktobru. Na meti su u oba slučaja bili klijenti američkih banaka. Poslednja aktivnost malvera zabeležena je 30. novembra kao deo kampanje napada koja je započela u oktobru, što ukazuje da projekat napreduje.

Nekoliko stotina računara u SAD su trenutno zaraženi malverom Gozi Prinimalka, iako nije jasno da li napadači već kradu novac sa računa korisnika bankovnih naloga. Iz McAfee-ja kažu da to što je računar zaražen malverom ne znači automatski da će korisnik računara postati žrtva krađe. Verovatnije je da će napadači pokušati da otkriju najvrednije naloge i fokusirati se na njih.

Kao i drugi bankarski Trojanci, kao što su Zeus ili SpyEye, i Gozi Prinimalka može otkriti kada žrtva pristupa sajtu banke i ukrasti podatke potrebne za prijavljivanje na online bankovni nalog kao i druge podatke koji su u vezi sa bankovnim računom. Malver cilja na veb sajtove američkih banaka, investicionih banaka i kreditnih unija.

Kada napadači identifikuju najvrednije bankarske račune, koriste se ukradeni podaci za transfer novca na račune koji pripadaju saradnicima („money mules“), čiji je zadatak da podignu sa računa ukradeni novac i iznesu ga iz zemlje.

McAfee je, između ostalog, sugerisao bankama da obrate pažnju na prijavljivanja na naloge iz inostranstva, zatim, sa IP adresa klijenata u neuobičajeno vreme i na transfere novca sa računa između kojih ne postoji bilo kakva veza osim te da se novac sa tih računa prebacuje na jedan isti račun. Pored toga, banke bi trebalo da preporuče svojim klijentima da redovno ažuriraju antivirusni softver, i da prijave sve sumnjive poruke i obaveštenja koja nisu uobičajene za e-banking.