黑客組織Carbanak的C&C服務器指向俄羅斯安全局
責編:mhshi |2015-05-27 09:44:30安全研究人員最近發現,黑客組織Carbanak使用的一臺C&C(命令與控制)服務器居然指向了俄羅斯聯邦安全局。
膽大保天:C&C服務器指向俄羅斯聯邦安全局
趨勢科技安全專家Maxim Goncharov透露,黑客組織Carbanak使用的一款惡意軟件的C&C(命令與控制)服務器指向的是俄羅斯聯邦安全局。Carbanak 是曾經從全球銀行席卷了10億美元的黑客組織,專家發現,這伙黑客攻擊了30個國家的100多個機構,攻擊從2013年開始,可能仍在繼續。
Goncharov發現,Carbanak木馬的命令與控制(C&C)服務器指向了俄羅斯聯邦安全局。研究人員給出了幾種可能的解釋,其中一個是木馬的作者想要愚弄聯邦安全局。
“昨天在檢查Carbanak報告中的攻擊指示器(indicators of compromise, IOC)數據時,我發現systemsvc.net這個域名(報告中提到的C&C域名)現在解析到的IP是213.24.76.23。我檢查相關 信息時發現IP在ASN AS8342 RTCOMM-AS OJSC RTComm.RU名下,地理位置是莫斯科 – 莫斯科 – 俄羅斯聯邦安全局。”Goncharov在博文中寫道,“我不知道到底怎么回事,我并不認為聯邦安全局會把一個跟Carbanak有關的域名指向安全局的IP上。可能是域名的擁有者在惡作劇。”
Carbanak組織攻擊步驟
首先,攻擊者使用惡意代碼尋找那些管理現金轉帳系統或者ATM機的員工,然后收集銀行的內部信息。
第二步,黑客在那些員工機器上安裝遠程訪問工具(RAT)。一旦他們感染了那些管理現金轉帳系統或者ATM機的員工,攻擊者會對受害者們截屏,研究他們在銀行的日常活動。最后,黑客會遠程控制那些ATM,然后取錢或者將錢轉賬到假的賬號。
卡巴斯基的專家最先發現了Carbanak組織,并將這些攻擊形容為“世界上最復雜的攻擊”。