Carberp

Carberp — троянская программа и одноимённая хакерская группа. Kaspersky.ru в 2013 году включил данный троян в «Великолепную четвёрку банковских троянов»^[1].

Carberp
Тип	Троянская программа
Год появления	2011 год

История создания

Троян Carberp был создан в 2011 году братьями из Москвы для воровства конфиденциальной информации и проведения мошеннических действий в сфере банковских услуг в России. По данным МВД, преступная группа была создана для получения доступа к персональным компьютерам, использовавшимся для работы с системами «Банк-Клиент» за счёт вредоносного программного обеспечения^[2].

С помощью трояна преступники подключались к персональным компьютерам, благодаря этому переводили денежные средства на заранее подготовленные счёта. Сведения Carberp передавал на специальный сервер, управляющий трояном.

Атакам Carberp подверглись банки на территории России и Украины^[3].

Принцип внедрения вредоносного кода

В процессе анализа одного из дропперов Carberp, была обнаружена техника внедрения вредоносного кода в доверенные процессы Windows, основанная на коде Power Loader^[4]. Сначала дроппер открывает одну из общедоуступных секций, затем прописывает шелл-код в конец какой-либо из них. Далее дроппер работает по схеме Gapz, с некоторыми изменениями в коде. Завершающим этапом является внедрение вредоносного кода процесс explorer.exe, который считается доверенным. Это делается для обхода антивирусных программ и исполнения нужных трояну действий в качестве доверенного процесса^[5].

Плагины, которыми снабжался троян, удаляли антивирусные программы из заражённой системы, а также удаляли следы деятельности трояна. В дальнейшем троян стал применять шифрование передаваемой им информации^[1].

Издание Cnews так резюмировало действия трояна Carberp^[3]:

Carberp также эксплуатирует 4 уязвимости в операционных системах семейства Windows для повышения привилегий пользователя, что позволяет ему красть финансовые средства даже с тех компьютеров корпоративной сети, где есть доступ к ДБО, но нет прав администратора. Кроме того, Carberp умеет объединять зараженные ПК в ботсеть, которые насчитывают сотни тысяч компьютеров.

Модификация банковского ПО

Carberp модифицирует Java Virtual Machine. Он вносит изменения в банковское ПО, написанное на Java, с помощью библиотеки Javassist, которая способна управлять исполняемым байт-кодом Java («на лету»). Троян Carberp проводит этим методом атаку против системы онлайн-банкинга BIFIT’s iBank 2. После того, как клиент использует iBank 2 на зараженном компьютере, код начинает загружать дополнительный модуль AgentX.jar, затем запускается библиотека Javassist. Для быстрой модификации платежных документов используется Java/Spy.Banker^[5].

После того, как добавятся все необходимые изменения в iBank2, злоумышленники получат полный контроль над всеми платежами, осуществляемыми через это банковское ПО. BIFIT’s iBank2 не контролирует целостность своего кода, поэтому утечка информации о денежных транзакциях становится не контролируемой. Все платежные операции проходят через злоумышленников, контролирующих троян Carberp. Кроме того, аналитики отмечают, что модуль Java/Spy.Banker способен обходить системы двухфакторной аутентификации с использованием одноразовых паролей^[5].

Поимка киберпреступников

С начала ноября 2010 года Министерство внутренних дел России совместно с Федеральной службой безопасности и Group-IB работали над поимкой киберпреступников. В январе 2011 года следователи установили личность главы киберпреступной группировки. В течение всего года им удалось установить личности ещё семи его сообщников. Все они были арестованы. Преступники похитили более 60 миллионов рублей и около 2 миллионов долларов^[6].

19 марта 2013 года Службе безопасности Украины благодаря сотрудничеству с ФСБ России удалось арестовать ещё 16 человек, разрабатывавших и распространявших Trojan.Carberp^[7].

Тем не менее, как отмечал kaspersky.ru в октябре 2013 года, сам троян полностью ликвидировать не удалось. Сначала его код предлагался за 40 тысяч долларов, а затем был выложен в открытый доступ^[1]. По информации Wikileaks, код Carberp был использован ЦРУ при создании компонента Stolen Goods, позволявшего набору шпионских инструментов Grasshopper оставаться в памяти даже после перезагрузки системы^[8][9].

Примечания

1. «Великолепная» четверка банковских троянов (рус.). kaspersky.ru (21 октября 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
2. Организаторы хакерской группы Carberp осуждены в Москве  (рус.). РИА Новости (21 апреля 2014). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
3. Интернет-издание о высоких технологиях  (неопр.). www.cnews.ru. Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
4. Дропперы Gapz и Redyms основаны на коде Power Loader  (рус.). Хабр (25 марта 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
5. Carberp: бесконечная история  (рус.). Хабр (26 марта 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
6. Russian Agencies Take Down Carberp Gang (англ.). threatpost.com (20 марта 2012). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
7. Создателям Trojan.Carberp дали пять лет тюрьмы  (рус.). www.ferra.ru (9 июля 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
8. Goodin, Dan WikiLeaks just dropped the CIA’s secret how-to for infecting Windows (амер. англ.). Ars Technica (7 апреля 2017). Дата обращения: 27 марта 2024.
9. Nathaniel Mott. WikiLeaks Docs Reveal How The CIA Targets Windows Users (англ.). Tom's Hardware (8 апреля 2017). Дата обращения: 27 марта 2024.