کارباناک

کارباناک (به انگلیسی: Carbanak) یک کمپین به سبک APT است که هدف آن نهادهای مالی می‌باشد (اگرچه محدود به آن نیست).[۱] این موضوع در سال ۲۰۱۴[۲] توسط شرکت امنیت سایبری کسپرسکی لب کشف شد.[۳]این کمپین از بدافزاری استفاده می‌کند که از طریق ایمیل‌های فیشینگ ارسال و به سیستم‌های عامل مایکروسافت ویندوز وارد می‌شود[۴][۵] و سپس از طریق ماکروهای موجود در اسناد، برای دزدیدن پول از بانک‌ها به کار گرفته می‌شود. گفته می‌شود این گروه هکری بیش از ۹۰۰ میلیون دلار پول را از بانک‌ها و بیش از یک هزار مشتری خصوصی دزدیده است.[۶]

مجرمان توانستند با دستکاری دسترسی‌های خود به شبکه‌های بانکی مربوطه، به روش‌های مختلف پول را سرقت کنند. در برخی موارد، به دستگاه خودپرداز دستور داده شد تا بدون تعامل محلی با ترمینال، وجه نقد را اهدا کند. به گفته کسپرسکی قاطرپول‌ها، که از طریق مافیای مولدووا استخدام شده بودند، پول را جمع‌آوری و از طریق شبکه سوئیفت به حساب‌های مجرمان انتقال می‌دادند. گروه کارباناک حتی به تغییر پایگاه‌های داده و افزایش موجودی حساب‌های موجود می‌زدند و تفاوت را به نفع خود بر می‌داشتند، بدون اینکه کاربر که موجودی اولیه او همچنان دست‌نخورده مانده، متوجه شود.[۷][۸]

به گفته کسپرسکی لب هدف‌های مورد نظر آن‌ها عمدتاً در روسیه، و به دنبال آن در ایالات متحده آمریکا، آلمان، چین و اوکراین بودند. زمانی که دستگاه‌های خودپرداز یک بانک برنامه‌ریزی شده بودند تا در زمان‌های مشخص وجه نقد را پخش کنند که سپس طراران جمع‌آوری کنند، مبلغ ۷.۳ میلیون دلار را از دست داد. یک شرکت مالی دیگر نیز ۱۰ میلیون دلار از طریق سکوی آنلاین خود مورد سرقت قرار گرفت.

کسپرسکی لب در تحقیقات و اقدامات متقابل که عملیات بدافزار و فعالیت‌های مجرمان سایبری را مختل می‌کند، همکاری می‌کند. این شرکت در طول تحقیقات، مشاوره تخصصی فنی از قبیل تحلیل بردارهای آلودگی، برنامه‌های مخرب، زیرساخت‌های فرمان و کنترل پشتیبانی شده و روش‌های بهره‌برداری را ارائه می‌دهند.[۹]

شرکت فایرآی تحقیقی منتشر کرد که فعالیت‌های بیشتری از این کمپین را پیگیری می‌کرد در آن با عنوان FIN7 به این گروه اشاره داشت. در این تحقیق مشخص شد که این کمپین یک فیشینگ هدفمند بوده است.[۱۰]

پروف‌پوینت نیز تحقیقی منتشر کرد که این گروه را با درب پشتی Bateleur مرتبط می‌دانست و فهرست اهداف را به رستوران‌های زنجیره‌ای مستقر در ایالات متحده، سازمان‌های مهمان‌نوازی، خرده‌فروشان، خدمات تجاری، تأمین‌کنندگان و دیگر حوزه‌ها فراتر از تمرکز اولیه بر خدمات مالی گسترش داد.[۱۱]

در تاریخ ۲۶ اکتبر ۲۰۲۰، پرودافت[الف] (سوئیس) شروع به انتشار جزئیات داخلی گروه Fin7/کارباناک و ابزارهایی که در عملیات خود استفاده می‌کنند کرد.[۱۲] در این گزارش ادعا شده که اطلاعات منتشر شده در اثر اشتباه ناشی از یک نقص OPSEC و از سمت عاملان تهدید بدست آمده است.[۱۳]

در تاریخ ۲۶ مارس ۲۰۱۸، یوروپل اعلام کرد که «مغز متفکر» گروه کارباناک و گروه وابسته Cobalt یا Cobalt Strike را در آلیکانته، اسپانیا دستگیر کرده است، در چارچوب تحقیقی که به رهبری پلیس ملی اسپانیا و با همکاری نیروهای انتظامی در چندین کشور و همچنین شرکت‌های خصوصی امنیت سایبری انجام شده بود. به نظر می‌رسد که کمپین‌های گروه همچنان ادامه داشته‌اند، به طوری که نقض امنیتی هادسونز بی کمپانی با استفاده از بدافزار پایانه فروش در سال ۲۰۱۸ به این گروه نسبت داده شده است.[۱۴]

جنجال

[ویرایش]

برخی جنجال‌ها پیرامون حملات کارباناک وجود دارد، چرا که به نظر می‌رسد چند ماه پیش‌تر در گزارشی از شرکت‌های امنیت اینترنتی گروه-IB[ب] (سنگاپور) و Fox-IT (هلند) در ارتباط با حمله آنوناک، به این گروه اشاره شده بود.[۱۵] گزارش آنوناک نشان می‌دهد که میزان زیان‌های مالی به‌شدت کاهش یافته و به گفته بیانیه‌ای که پس از انتشار مقاله نیویورک تایمز توسط Fox-IT صادر شد، نفوذ در بانک‌های خارج از روسیه با تحقیقات آن‌ها همخوانی نداشت.[۱۶] همچنین در مصاحبه‌ای که توسط روزنامه روسی کامرسانت انجام شد، اختلاف نظر بین ادعاهای کسپرسکی لب و گروه-IB آشکار شد. به‌طوری که گروه-IB ادعا می‌کند بانک‌های خارج از روسیه و اوکراین مورد حمله قرار نگرفته‌اند و فعالیت‌های خارج از آن منطقه بر روی سیستم‌های پایانه فروش متمرکز بوده است.[۱۷]

رویترز بیانیه‌ای صادر کرد که به یک اطلاع‌رسانی خصوصی از سوی اف‌بی‌آی و سرویس مخفی ایالات متحده آمریکا اشاره داشت و اعلام کرد که هیچ گزارشی دریافت نکرده‌اند مبنی بر اینکه کارباناک بخش مالی را تحت تأثیر قرار داده باشد.[۱۸] دو گروه نماینده از صنعت بانکداری آمریکا، مرکز اشتراک و تحلیل اطلاعات خدمات مالی و انجمن بانکداران آمریکا، در مصاحبه‌ای با Bank Technology News اعلام کردند که هیچ بانکی در ایالات متحده تحت تأثیر قرار نگرفته است.[۱۹]

یادداشت‌ها

[ویرایش]
  1. PRODAFT
  2. Group-IB

منابع

[ویرایش]
  1. Kaspersky Labs' Global Research & Analysis Team (GReAT) (February 16, 2015). "The Great Bank Robbery: the Carbanak APT". Securelist. Archived from the original on February 17, 2015.
  2. "Carbanak_APT Analysis" (PDF). Kaspersky. Archived from the original (PDF) on 19 March 2017. Retrieved 12 June 2017.
  3. David E. Sanger and Nicole Perlroth (14 February 2015). "Bank Hackers Steal Millions via Malware". The New York Times.
  4. CARBANAK Week Part One: A Rare Occurrence FireEye, 2019
  5. Fingas, Jon (February 14, 2015). "Subtle malware lets hackers swipe over $300 million from banks". engadget. Archived from the original on February 15, 2015.
  6. [نیازمند منبع]
  7. "Carbanak Ring Steals $1 Billion from Banks". Threatpost. 15 February 2015.
  8. "Carbanak – Darknet Diaries". darknetdiaries.com (به انگلیسی). Retrieved 2025-01-11.
  9. "The Great Bank Robbery: the Carbanak APT". Securelist. 16 February 2015.
  10. "FIN7 Evolution and the Phishing LNK". FireEye.
  11. "FIN7/Carbanak threat actor unleashes Bateleur JScript backdoor". www.proofpoint.com. July 31, 2017. {{cite web}}: Text "Proofpoint US" ignored (help)
  12. "OpBlueRaven: Unveiling Fin7/Carbanak - Part I : Tirion". Prodaft.com.
  13. "OpBlueRaven: Unveiling Fin7/Carbanak - Part II : BadUSB Attacks". PRODAFT.
  14. Newman, Lily Hay. "THE BILLION-DOLLAR HACKING GROUP BEHIND A STRING OF BIG BREACHES". Wired.
  15. "Anunak APT against Financial institutions" (PDF). Fox-IT. 22 December 2014. Archived from the original (PDF) on 22 March 2015. Retrieved 4 March 2015.
  16. "Anunak aka Carbanak update". Fox-IT. 16 February 2015.
  17. "Group-IB and Kaspersky have conflicting views". Kommersant. 23 February 2015.
  18. "FBI, Secret service, no signs of Carbanak". Reuters. 18 February 2015. Archived from the original on 24 September 2015. Retrieved 30 June 2017.
  19. "Carbanak overhyped, no US banks hit". BankTechnologyNews. 19 February 2015.