Carberp

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Carberp
Тип Троянская программа
Год появления 2011 год

Carberp — троянская программа и одноимённая хакерская группа. Kaspersky.ru в 2013 году включил данный троян в «Великолепную четвёрку банковских троянов»[1].

История создания[править | править код]

Троян Carberp был создан в 2011 году братьями из Москвы для воровства конфиденциальной информации и проведения мошеннических действий в сфере банковских услуг в России. По данным МВД, преступная группа была создана для получения доступа к персональным компьютерам, использовавшимся для работы с системами «Банк-Клиент» за счёт вредоносного программного обеспечения[2].

С помощью трояна преступники подключались к персональным компьютерам, благодаря этому переводили денежные средства на заранее подготовленные счёта. Сведения Carberp передавал на специальный сервер, управляющий трояном.

Атакам Carberp подверглись банки на территории России и Украины[3].

Принцип внедрения вредоносного кода[править | править код]

В процессе анализа одного из дропперов Carberp, была обнаружена техника внедрения вредоносного кода в доверенные процессы Windows, основанная на коде Power Loader[4]. Сначала дроппер открывает одну из общедоуступных секций, затем прописывает шелл-код в конец какой-либо из них. Далее дроппер работает по схеме Gapz, с некоторыми изменениями в коде. Завершающим этапом является внедрение вредоносного кода процесс explorer.exe, который считается доверенным. Это делается для обхода антивирусных программ и исполнения нужных трояну действий в качестве доверенного процесса[5].

Плагины, которыми снабжался троян, удаляли антивирусные программы из заражённой системы, а также удаляли следы деятельности трояна. В дальнейшем троян стал применять шифрование передаваемой им информации[1].

Издание Cnews так резюмировало действия трояна Carberp[3]:

Carberp также эксплуатирует 4 уязвимости в операционных системах семейства Windows для повышения привилегий пользователя, что позволяет ему красть финансовые средства даже с тех компьютеров корпоративной сети, где есть доступ к ДБО, но нет прав администратора. Кроме того, Carberp умеет объединять зараженные ПК в ботсеть, которые насчитывают сотни тысяч компьютеров.

Модификация банковского ПО[править | править код]

Carberp модифицирует Java Virtual Machine. Он вносит изменения в банковское ПО, написанное на Java, с помощью библиотеки Javassist, которая способна управлять исполняемым байт-кодом Java («на лету»). Троян Carberp проводит этим методом атаку против системы онлайн-банкинга BIFIT’s iBank 2. После того, как клиент использует iBank 2 на зараженном компьютере, код начинает загружать дополнительный модуль AgentX.jar, затем запускается библиотека Javassist. Для быстрой модификации платежных документов используется Java/Spy.Banker[5].

После того, как добавятся все необходимые изменения в iBank2, злоумышленники получат полный контроль над всеми платежами, осуществляемыми через это банковское ПО. BIFIT’s iBank2 не контролирует целостность своего кода, поэтому утечка информации о денежных транзакциях становится не контролируемой. Все платежные операции проходят через злоумышленников, контролирующих троян Carberp. Кроме того, аналитики отмечают, что модуль Java/Spy.Banker способен обходить системы двухфакторной аутентификации с использованием одноразовых паролей[5].

Поимка киберпреступников[править | править код]

С начала ноября 2010 года Министерство внутренних дел России совместно с Федеральной службой безопасности и Group-IB работали над поимкой киберпреступников. В январе 2011 года следователи установили личность главы киберпреступной группировки. В течение всего года им удалось установить личности ещё семи его сообщников. Все они были арестованы. Преступники похитили более 60 миллионов рублей и около 2 миллионов долларов[6].

19 марта 2013 года Службе безопасности Украины благодаря сотрудничеству с ФСБ России удалось арестовать ещё 16 человек, разрабатывавших и распространявших Trojan.Carberp[7].

Тем не менее, как отмечал kaspersky.ru в октябре 2013 года, сам троян полностью ликвидировать не удалось. Сначала его код предлагался за 40 тысяч долларов, а затем был выложен в открытый доступ[1].

Примечания[править | править код]

  1. 1 2 3 «Великолепная» четверка банковских троянов (рус.). kaspersky.ru (21 октября 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  2. Организаторы хакерской группы Carberp осуждены в Москве. РИА Новости (21 апреля 2014). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  3. 1 2 Интернет-издание о высоких технологиях. www.cnews.ru. Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  4. Дропперы Gapz и Redyms основаны на коде Power Loader. Хабр (25 марта 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  5. 1 2 3 Carberp: бесконечная история. Хабр (26 марта 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  6. Russian Agencies Take Down Carberp Gang (англ.). threatpost.com (20 марта 2012). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.
  7. Создателям Trojan.Carberp дали пять лет тюрьмы. www.ferra.ru (9 июля 2013). Дата обращения: 12 ноября 2021. Архивировано 12 ноября 2021 года.