Carbanak: ??????????????????????????
シマンテックは、金融機関を標的とする犯罪グループの活動を長期にわたって追跡してきました。
Read More
シマンテックは、金融機関を標的とする犯罪グループの活動を長期にわたって追跡してきました。
Read More
Symantec ha rastreado un tiempo las actividades de esta agrupación enfocada en realizar delitos financieros
Read More
As atividades do grupo de crimes financeiros são rastreadas pela Symantec há algum tempo.
Read More
The activities of the financial crime group have been tracked by Symantec for some time.Read More
サイバー攻撃はますます大規模に、そして大胆になっているため、セキュリティ対策にも新たなアプローチが必要になってきています。サイバー犯罪者は、従来のコンピュータシステム以外にも攻撃対象を広げており、今ではインターネットに接続できるデバイスのほとんどが標的になる恐れがあります。2013 年は大規模なデータ侵害の年であり、推定 5 億件の情報が漏えいするという史上最大のデータ侵害も発生しました。店頭レジ端末(POS)がマルウェアに感染し、何百万件というクレジットカード情報が抜き取られる事件もありました。さらに一歩進み、悪質なコードを使って現金を盗み出す攻撃も発生しています。最近確認された Ploutus に至っては、単純な SMS メッセージを送信することで、携帯電話を使って ATM から現金を引き出すことさえ可能です。
インターネットに接続できるデバイスが増加するということは、攻撃者が企業環境に侵入できる経路が増えることを意味します。周辺機器や Web サーバーでデフォルトのままのパスワードが使われていたり、既知の脆弱性が残っていたりすれば、いとも簡単に侵入されてしまいます。しかも、頭痛の種は社内のセキュリティに限ったことではありません。多くの企業は、パートナーや仕入れ先、サービスプロバイダとの取引があり、取引先が何らかのレベルで企業ネットワークにアクセスできる場合もあります。こういったアクセスが侵入経路にもなりかねません。
その一方で、巧妙なスピア型フィッシングメールを使って従業員を狙い、企業の中心部に直接攻撃を仕掛けてくる攻撃者もいます。いったん侵入に成功すれば、攻撃者はネットワークを横断して、求めているデータを入手できるようになります。攻撃者は権限の昇格を狙っているのかもしれませんし、ハッキングツールをインストールして攻撃をやりやすくようとしているのかもしれません。求めるデータを手に入れたら、次に必要なのはそれを密かに外部に送り出すことです。その際にはステージングサーバーが使われる可能性もあります。
企業は、攻撃者が潤沢な資源と高いスキルを持っていることを自覚しなければなりません。攻撃者は、金融データでも顧客データでも、あるいは知的財産でも、標的に侵入してデータを入手するためにはあらゆる手段を尽くします。企業は、こうした攻撃者の先手を取るために、一歩先を行くサイバーセキュリティを導入する必要があります。
一歩先を行くサイバーセキュリティとは
攻撃が何段階にもわたって執拗に続けられることはわかっていますが、その段階ごとに、攻撃者は何らかの痕跡を残しています。投下されたファイル、ハッキングツール、ログイン失敗の記録、あるいは未知の FTP サーバーへの接続記録などです。一歩先を行くサイバーセキュリティでは、こうした侵入の痕跡を手掛かりにして実践的なインテリジェンスを構築することで、攻撃者が実際にネットワークに足場を築くよりも前に、攻撃の試みを検知して遮断できるよう学習します。一歩先を行くサイバーセキュリティを導入することにより、ネットワークセキュリティを確実に制御できるようになります。
一歩先を行くシマンテックのサイバーセキュリティソリューションにご興味のある方は、ぜひ Symantec Vision にご参加ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Attacks are getting bigger and bolder and this calls for a new approach to cybersecurity. Cybercriminals have broadened their scope beyond conventional computer systems and now almost every connected device can be a target. 2013 was the year of the megabreach, where we witnessed some of the biggest data breaches of all time with an estimated 800 million records exposed. Point of Sale terminals have been infected with malware in order to siphon off millions of credit card records. Attackers are even going one step further and using malicious code to steal cold hard cash. A recent piece of malware, Ploutus, allows criminals to use a mobile phone to get an ATM to spit out cash by sending a simple text message.
An increasingly connected world means that attackers have access to more routes into a corporate environment. Default passwords and known vulnerabilities on peripheral devices and Web servers can provide an easy, direct path. And it isn’t just your own security you need to worry about. Many corporations have partners, suppliers, and service providers who have some level of access to the corporate network. These are often the weak link.
Attackers can also strike straight at the heart of an organization by targeting employees with well-crafted spear phishing emails. Once inside, the attacker can traverse the network to get to the data they’re seeking. They may need elevated privileges, and they may install hacking tools to facilitate this. Once attackers have the data they want, they need to exfiltrate it, maybe using a staging server along the way.
Organizations need to accept that attackers are well resourced, skilled, and will do what it takes to infiltrate their target and acquire their data, be it financial data, customer records, or intellectual property. Corporations need to get ahead of the attacker and embrace Proactive Cybersecurity.
What is Proactive Cybersecurity?
We know that attacks are multi-staged and persistent, but at each stage of a campaign the attackers leave traces of their presence. It might be a dropped file, hacking tools, a failed login, or a connection to an unknown FTP server. Proactive Cybersecurity takes these indicators of compromise and develops actionable intelligence so that you can learn to recognize attempted attacks and block them before attackers gain a foothold in your network. Proactive Cybersecurity puts you firmly in control of your network security.
To learn more about how Symantec’s Proactive Cybersecurity solutions join us at Symantec Vision.
El 4 de septiembre de 2013, Symantec fue el primero en descubrir y añadir detección a un nuevo malware dirigido a cajeros automáticos llamado Backdoor.Ploutus, según lo informado en las definiciones de liberación rápida . Recientemente, se identificó una nueva variante de esta amenaza, la cual evolucionó y ahora se ha traducido al inglés, lo que sugiere que el software dirigido a los cajeros automáticos podría estar siendo usado también en otros países.
Tras esta investigación, el 25 de octubre de 2013 Symantec añadió una detección genérica para esta nueva variante con el nombre de Backdoor.Ploutus.B, por lo que ahora Ploutus se puede detectar cuando está inactivo y cuando está ejecutándose.
De acuerdo con fuentes externas, el malware se transfiere al cajero automático al insertar físicamente un nuevo disco de arranque en la unidad de CD- ROM. El disco de arranque es el que transfiere el malware.
Los delincuentes han portado el malware a una arquitectura más robusta y lo tradujeron al inglés lo cual sugiere que el mismo software que se descubrió en un inicio, ahora podría ser utilizado en países fuera de América Latina.
El número de bancos afectados por Backdoor.Ploutus.B está fuera del alcance de esta investigación, toda vez que dicha información es manejada por las entidades afectadas.
El nombre binario de la versión en inglés es “Ploutos.exe” en lugar de “PloutusService.exe” (como era en la versión en español). Ahora el programa ha pasado de ser algo independiente a ser una arquitectura modular.
Figura 1. Arquitectura modular de Ploutus
El nuevo servicio NCRDRVP esta fuertemente protegido contra ingeniería inversa y esconde sus acciones maliciosas para evitar ser detectado. De acuerdo con la investigación, puede realizar las siguientes tareas:
• Instalar o desinstalar el servicio
• Interceptar los mensajes del teclado del cajero para recibir órdenes de los delincuentes
• Iniciar al Dispatcher (ver arriba) y comunicarse a través de un raw socket
El Dispatcher recibirá instrucciones de NCRDRVP a través de un raw socket. Este socket no es fácil de detectarse, ya que no aparece en la lista de protocolos TCP o UDP que utiliza el sistema. El Dispatcher puede realizar las siguientes acciones:
• Analizar las órdenes recibidas para asegurarse de que son válidas
• Ejecutar Ploutus a través de la línea de comandos
Backdoor.Ploutus.B utiliza la misma interfaz (clase NCR.APTRA.AXFS ) para interactuar con el cajero, y solo se concentra en el suministro de dinero, pero agrega nuevas funcionalidades como:
• Puede imprimir la configuración completa del cajero automático si una impresora USB está conectada a la máquina (la versión en español envía esta información a un archivo log en lugar de imprimirlo)
• No cuenta con una interfaz gráfica de usuario (GUI) y en su lugar acepta comandos desde el teclado del cajero automático
• No ofrece soporte para un teclado externo conectado al cajero (como en la versión en español)
• Retira el dinero del casete o bandeja con más billetes disponible y ya no tiene la opción de ingresar una cantidad específica a retirar
• Mostrará una ventana a los criminales con los detalles de las transacciones realizadas y el dinero disponible en el cajero (esta vez en inglés):
Figura 2. Ventana mostrando el detalle de la transacción durante el retiro
La nueva versión tiene las mismas funcionalidades que la versión anterior:
Los atacantes envían un código de 16 dígitos a través del teclado del cajero, dicha información es recibida por el Servicio de NCRDRVP :
• 123456789ABCDEFG
Dicho código se envía entonces al Dispatcher a través del raw socket. El Dispatcher envía una instrucción de 33 dígitos a Ploutus a través de la línea de comandos:
cmd.exe / c Ploutos.exe 5449610000583686 = 123456789ABCDEFG
Si los últimos 16 dígitos son igual a: 2836957412536985 , entonces Ploutus generará un ID del cajero.
Si Ploutus genera un ID del cajero, los atacantes pueden ingresar otros 16 dígitos, pero sustituyendo los dos últimos teniendo la siguiente funcionalidad:
Si los dos últimos dígitos son 99:
• Ploutus se detiene
Si los dos últimos dígitos son 54:
• Se activara el cajero listo para entregar dinero
• Establece el contador de tiempo para entregar el dinero (24 horas)
Si los dos últimos dígitos son 31:
• El cajero entregara el dinero calculado e imprimirá la configuración completa del mismo si detecta una impresora USB conectada a la maquina
Lo que este descubrimiento pone sobre la mesa es el creciente nivel de cooperación entre los criminales del mundo físico tradicional con hackers y delincuentes cibernéticos. Con el uso cada vez mayor de la tecnología en todos los aspectos de la vida y las nuevas medidas de protección, los delincuentes tradicionales se están dando cuenta de que, para llevar a cabo robos con éxito, ahora requieren otro conjunto de habilidades que no necesitaban en el pasado. Los ladrones modernos de bancos ahora necesitan tener en su equipo a profesionales en tecnología calificados para ayudarles a robar.
Este tipo de situaciones no sólo pasa en las películas, está sucediendo en la vida real y es un ejemplo de cómo los ciberataques se están volviendo más específicos, recordemos que según datos del Informe sobre Amenazas a la Seguridad en Internet de Symantec, en 2012 los ataques dirigidos crecieron 42% y el sector financiero es el segundo sector más atacado por este tipo de cuestiones con 19% del total. Datos de septiembre de este año revelan que el 13% de los ataques por industria tuvo al sector financiero en la mira.
Cabe mencionar que los usuarios de los cajeros automáticos no están siendo afectados por esta situación directamente, sino que son las instituciones financieras las que están siendo blanco de este ataque, por ello, Symantec recomienda lo siguiente:
Symantec Security Response continuará monitoreando el comportamiento y evolución de de Backdoor.Ploutus para mantener a sus clientes protegidos.
Rapid Release 定義のページで報告されているとおり、シマンテックは 2013 年 9 月 4 日、ATM を標的にする Backdoor.Ploutus という新しいマルウェアを最初に検出し、その検出定義を追加しました。最近になってこのマルウェアの新しい亜種が見つかりましたが、以前より進化したうえに英語に翻訳されていることから、同じ ATM ソフトウェアが他の国や地域でも使われていることを示唆しています。
シマンテックは 2013 年 10 月 25 日、この新しい亜種に対する汎用的な検出定義を Backdoor.Ploutus.B として追加しました。Ploutus は、活動していない状態でも実行中でも検出することができます。
シマンテック外部からの情報によると、このマルウェアは CD-ROM ドライブに新しいブートディスクを物理的に挿入することで ATM に転送され、ブートディスクからマルウェアがコピーされます。
今回、犯罪者は、マルウェアをさらに堅ろうなアーキテクチャに移植したうえ、英語に翻訳しています。まるで、中南米以外の国や地域でも同じ ATM ソフトウェアを悪用できることがわかったのだと、ほのめかしているようです。
Backdoor.Ploutus.B の影響を受けている金融機関の数については、今回の調査では対象にしていません。関係各機関に委ねられています。
英語版のバイナリ名は PloutusService.exe ではなく Ploutos.exe となり、スタンドアロンのプログラムからモジュール式のアーキテクチャに変更されています。
図 1. モジュール式のアーキテクチャに変更された Ploutus
新しい NCRDRVP サービスは高度に不明瞭化されているため、その悪質な活動は検出をすり抜けて、以下の処理を実行する可能性があります。
このディスパッチャは、RAW ソケットを作成して命令に対する応答を準備します。RAW ソケットは、システムが使う TCP プロトコルまたは UDP プロトコルにリストされないため、検出が容易ではありません。ディスパッチャは、以下の処理を実行する可能性があります。
Backdoor.Ploutus.B は同じインターフェース(NCR.APTRA.AXFS クラス)を持ち、現金の引き出しがメインの機能である点は変わりませんが、いくつかの相違点もあります。今回のバージョンの特徴は、以下のとおりです。
図 2. 侵入先の ATM で引き出し可能な現金が表示されるウィンドウ
新しいバージョンでも、次の機能は古いバージョンと変わっていません。
攻撃者は ATM のテンキーを使って次のような 16 桁のコマンドコードを送信し、そのコードが NCRDRVP サービスで受信されます。
次に、このコードが RAW ソケットを通じてディスパッチャに転送され、ディスパッチャは次のようなコマンドラインで 33 桁の命令を Ploutus に送信します。
最後の 16 桁が 2836957412536985 に等しければ、Ploutus は ATM ID を生成します。Ploutus が ATM ID を生成した場合、攻撃者は同じ 16 桁を入力できますが、このとき下 2 桁を書き換えてさまざまな処理を実行します。
下 2 桁が 99 の場合:
下 2 桁が 54 の場合:
下 2 桁が 31 の場合:
今回の発見で改めて強調されたのは、従来の物理的な犯罪を企てる犯罪者とハッカーやサイバー犯罪者との間で協力関係が増してきていることです。セキュリティのあらゆる面で技術が進化しているため、従来型の犯罪者は、これまで必要とされなかったスキルがなければ盗みが成功しないことに気付きつつあります。今や、最新の銀行強盗団には、盗みを手助けする熟練した IT 専門家が不可欠になりました。これは映画の中だけの話ではなく、実際に起きている現実です。もっとも、この問題で ATM の利用者が直接の被害を受けるわけではなく、狙われているのはあくまでも金融機関です。シマンテックは、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
On September 4, 2013, we were the first to discover and add detections for a new malware targeting ATMs named Backdoor.Ploutus, as reported by our Rapid Release Definitions. Recently, we identified a new variant of this threat and realized that…
寄稿: Val S
メキシコの犯罪組織は、金銭を盗み出す新しい手口を次々と生み出すことで悪名を馳せています。現金自動預け払い機(ATM)も頻繁に狙われていますが、犯罪者にとって問題になるのは ATM から実際に現金を取り出す方法です。以下の 3 つの方法がよく使われています。
以上の手口はいずれも、成否が完全に外的な要因に左右されますが、犯罪者にとって最も望ましいのは、ボタンをいくつか押すだけで ATM から現金を吐き出させる(2010 年の BlackHat カンファレンスで故バーナビー・ジャック(Barnaby Jack)氏が実演したように)ことです。金融機関にとっては悪夢ですが、犯罪者の夢が実現してしまったかもしれません。他のウイルス対策企業との合同調査で、シマンテックは 2013 年 8 月 31 日にそのサンプルを特定し、2013 年 9 月 4 日にその検出定義を追加しました。このサンプルは Backdoor.Ploutus として検出されます。
シマンテック外部からの情報によると、このマルウェアは CD-ROM ドライブに新しいブートディスクを物理的に挿入することで ATM に転送され、ブートディスクからマルウェアがコピーされます。
今回の犯罪者が作成したインターフェースは、侵入した ATM 上の ATM ソフトウェアと対話するため、現金を格納しているコンテナ(カセットとも呼ばれます)から、利用可能な現金をすべて引き出すことができます。
注意しなければならないのは、カードの所有者が ATM のテンキーで入力した情報をすべて読み取る機能も備えているため、犯罪者は外部デバイスをいっさい使わずに重要な情報を盗み出せるという点です。
このマルウェアの影響を受けている他の国や地域から確定的な情報はまだ届いていませんが、同じ ATM ソフトウェアを使っている他の国や地域の金融機関も狙われる恐れがあります。
失効していないアクティブな ATM ID を使って現金を引き出す必要があるため、上に挙げたコマンドのリストはこの順序で実行される必要があります。
ソースコードではスペイン語の関数名が使われ、英語の文法に間違いがあることから、このマルウェアはスペイン語圏の開発者によって作成されたものと考えられます。
前述したように、このタイプの操作では別途キーボードを接続する必要はありません。
ATM のテンキーを使って入力されるコマンドコードとその目的は、以下のとおりです。
12340000: キーボードがコマンドを受け取っているかどうかをテストします。
12343570: ATM ID を生成します。ID は、config.ini ファイルの DATAA というエントリに保存されます。
12343571XXXXXXXX: これは 2 つの処理を実行します。
12343572XX: ATM に現金を引き出すよう命令します。伏せ字にしてある桁が、引き出す金額(100 ドル紙幣の枚数)を表します。
この方法を使うには、外付けキーボードが必要です。
F8 = Backdoor.Ploutus のウィンドウが非表示の場合に、それを ATM のメイン画面に表示します。これにより、犯罪者がコマンドを送信できるようになります。
Backdoor.Ploutus のウィンドウが表示されたら、キーボードで対応するキーを押すと以下のキーコマンドが発行されます。
F1 = ATM ID の生成
F2 = ATM ID のアクティブ化
F3 = 引き出し
F4 = Backdoor.Ploutus ウィンドウの無効化
F5 = KeyControlUp(上に移動)
F6 = KeyControlDown(下に移動)
F7 = KeyControlNext(次に移動)
F8 = KeyControlBack(前に移動)
図. Backdoor.Ploutus のキーコマンド
今回の犯罪者が ATM ソフトウェアをリバースエンジニアリングし、それと対話するインターフェースを作り上げたことは明らかです。私たちは ATM アーキテクトではありませんが、確認できたコードに基づいて、Backdoor.Ploutus には以下のような機能があると推測できます。
今回の発見で改めて強調されたのは、従来の物理的な犯罪を企てる犯罪者とハッカーやサイバー犯罪者との間で協力関係が増してきていることです。セキュリティのあらゆる面で技術が進化しているため、従来型の犯罪者は、これまで必要とされなかったスキルがなければ盗みが成功しないことに気付きつつあります。今や、最新の銀行強盗団には、盗みを手助けする熟練した IT 専門家が不可欠になりました。これは映画の中だけの話ではありません。実際に、もしかしたら皆さんの身近な ATM で起きているかもしれない現実なのです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。