Analýzy hrozeb

Jak jsme odhalili bankovní botnet

Jeff Elder, 30. října 2019

Bezpečnostní chyby pomohly odhalit činnost kriminální skupiny, která měla přístup k milionům eur na bankovních účtech přibližně 800 000 obětí

Skupina kolegů na Skypu diskutuje o starých dobrých časech, o tom, kolik zrovna vydělávají, a o upadající morálce. Jeden říká ostatním, jak je demotivovaný a že nechce nic dělat. 

Běžný den v životě lidí z technologické komunity? Tak trochu, ale s jedním zásadním rozdílem. Tato skupina provozovala škodlivý botnet, který měl přístup k milionům euro na bankovních účtech přibližně 800 000 obětí. 

Tým Virové laboratoře Avastu pomohl zničit botnet Geost, který pomocí 13 řídicích serverů provozoval stovky škodlivých domén. Tento botnet „luxoval“ v Rusku bankovní účty až do chvíle, kdy mu ironickou shodou náhod zlomily vaz bezpečnostní chyby jeho provozovatelů, kteří si nedávali pozor na to, o čem si spolu na internetu povídají. 

„Dostalo se nám nevídaného pohledu na to, jak podobné operace fungují,“ řekla Anna Shirokova, výzkumnice v Avastu, která pomohla kriminální skupinu odhalit. „Díky tomu, že si tato skupina nedávala příliš pozor na ukrývání svých aktivit, dostali jsme se nejen ke vzorkům malwaru, ale také jsme dokázali podrobně prozkoumat, jak celá operace funguje.“

Botnet Geost na dálku ovládal složitou infrastrukturu infikovaných telefonů s Androidem. Útočníci na těchto telefonech mohli číst a posílat SMS, komunikovat s bankami a přesměrovávat uživatele na jiné weby. 

Studie, kterou napsali Anna Shirokova, Sebastian Garcia z ČVUT v Praze a Maria Jose Erquiaga z UNCUYO University, poskytuje unikátní pohled na to, jak si skupina kybernetických zločinců vlastními bezpečnostními chybami podlomila nohy. 

Hackeři důvěřovali síti škodlivých proxy serverů, zapomněli zašifrovat řídicí servery, opakovaně používali určité bezpečnostní služby, důvěřovali dalším útočníkům, kteří si na své postupy dávali ještě menší pozor, a nešifrovali své online konverzace.

„Řetězec malých chyb stačil k odhalení činnosti velkého bankovního botnetu na zařízeních s Androidem,“ napsali autoři studie. 

Získané záznamy z chatů poskytují náhled do duše členů rozsáhlé zločinecké skupiny. Jeden z členů skupiny je demotivovaný a kolega na něj pod příslibem odměny tlačí, aby pokračoval:

„Alexandře, když jsme na tom spolu začali, tak to musíme dokončit. Vždyť to funguje a může nám to vydělat peníze!“ 

Ničemu to ale nepomůže, protože demotivovaný člen odpoví: „Přemýšlel jsem nad tím, ale už do toho dál nepůjdu.“

Kolega na to reaguje: „Dobře, chápu. Je to škoda. Ale jestli změníš názor, napiš mi.“ 

„Zajímavý pohled na mezilidské vztahy ve skupině kyberzločinců“ zahrnoval více než 6 200 řádků textu, záznamy chatů za osm měsíců a soukromé konverzace 29 lidí zapojených do různých operací. 

Přestože botnet Geost fungoval nejméně od roku 2016, o jeho činnosti se nevědělo až do chvíle, kdy jeho datové přenosy zachytil malware HtBot na škodlivém serveru. Výzkumníci prezentují svou studii na londýnské konferenci Virus Bulletin. Virová laboratoř Avastu bude činnost botnetu i nadále různě sledovat.