Хакеры в течение 5 часов контролировали один из крупнейших бразильских банков.
На конференции Security Analyst Summit эксперты «Лаборатории Касперского» рассказали о сложном киберограблении одного из крупнейших бразильских банков, имевшем место прошлой осенью. Злоумышленники взломали DNS финорганизации, в течение пяти часов имели полный доступ к ее online-сервисам и перехватывали все транзакции.
В ходе атаки хакеры использовали действительный SSL-сертификат и Google Cloud для поддержки фальшивой инфраструктуры банка. Исследователи не уточнили название пострадавшей финорганизации, однако известно, что киберпреступники скомпрометировали 36 ее доменов наряду с почтовым и FTP-сервером. Сначала злоумышленники взломали сети DNS-провайдера Registro.br, чьими услугами пользуется банк, тем самым получив доступ к учетной записи финорганизации.
Каким образом хакерам удалось проникнуть в сети провайдера, неизвестно. По мнению экспертов ЛК, взлом был осуществлен как минимум за пять месяцев до непосредственной атаки на банк. Получив доступ к online-сервисам, злоумышленники заражали компьютеры пользователей вредоносным ПО, замаскированным под плагин безопасности Trusteer. Вредонос мог отключать установленные на атакуемой системе продукты безопасности, похищать учетные данные и списки контактов электронной почты.
По словам экспертов ЛК, ранее им не доводилось наблюдать столь масштабные атаки. «До сих пор подобные атаки никогда не осуществлялись в таких масштабах», - цитирует издание Dark Reading руководителя исследовательской команды ЛК в Южной Америке Дмитрия Бестужева.
Никаких овечек — только отборные научные факты