Corkow: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Интерактивная навигация по истории
(Показать все непатрулированные изменения)
[непроверенная версия][непроверенная версия]
← Предыдущая правка
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
м добавил второе название
м Обработка ошибок в примечаниях
 
(не показано 16 промежуточных версий 12 участников)
Строка 1: Строка 1:
'''Corkow''' (от англ. corkow - затаивать, прятать, второе название Metel) - анонимная киберпреступная группа (хакерская группировка), активная с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. В отличие от Carberp, который получил мировую известность, Corkow (Metel) не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время. Ситуация изменилась в 2014 году, когда совокупный баланс скомпрометированных трояном Corkow (Metel) счетов клиентов превысил $ 250 млн. По состоянию на начало 2015 года, по данным [[Group-IB]] объем ущерба значительно вырос<ref>{{Cite web|accessdate = 2016-02-08|author = Jake Rudnitsky Rudnit Ilya Khrennikov|title = Russian Hackers Moved Currency Rate With Malware, Group-IB Says|url = http://www.bloomberg.com/news/articles/2016-02-08/russian-hackers-moved-currency-rate-with-malware-group-ib-says|publisher = Bloomberg.com}}</ref>.
'''Corkow''' (от англ. corkow — затаивать, прятать, второе название Metel) — анонимная киберпреступная группа (хакерская группировка), активная с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. В отличие от [[Carberp]], который получил мировую известность, Corkow (Metel) не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время. Ситуация изменилась в 2014 году, когда совокупный баланс скомпрометированных трояном Corkow (Metel) счетов клиентов превысил $ 250 млн.<ref name=autogenerated1>{{Cite web|accessdate = 2016-02-08|author = Jake Rudnitsky Rudnit Ilya Khrennikov|title = Russian Hackers Moved Currency Rate With Malware, Group-IB Says|url = https://www.bloomberg.com/news/articles/2016-02-08/russian-hackers-moved-currency-rate-with-malware-group-ib-says|publisher = Bloomberg.com|archive-date = 2020-02-19|archive-url = https://web.archive.org/web/20200219210548/https://www.bloomberg.com/news/articles/2016-02-08/russian-hackers-moved-currency-rate-with-malware-group-ib-says|deadlink = no}}</ref>.


== Деятельность ==
== Деятельность ==

=== 2011 год ===
=== 2011 год ===
Первое упоминание трояна Corkow.
Первое упоминание трояна Corkow (Metel).


=== 2012 год ===
=== 2012 год ===
Системы телеметрии фиксировала резкие спады и подъемы в активности этой вредоносной программы с начала ее первого обнаружения. Так во второй половине 2012 г. наблюдался спад ее активности, после чего активность снова возросла. Возможно группа, распространявшая Corkow (Metel), была привлечена к уголовной ответственности и не могла осуществлять свою деятельность в этот период<ref>{{Cite web|accessdate = 2016-02-08|title = Банковский троян Win32/Corkow атакует российских пользователей|url = http://habrahabr.ru/company/eset/blog/212573/|publisher = habrahabr.ru}}</ref>.
Системы телеметрии фиксировала резкие спады и подъёмы в активности этой вредоносной программы с начала её первого обнаружения. Так во второй половине 2012 г. наблюдался спад её активности, после чего активность снова возросла. Возможно группа, распространявшая Corkow (Metel), была привлечена к уголовной ответственности и не могла осуществлять свою деятельность в этот период<ref>{{Cite web|accessdate = 2016-02-08|title = Банковский троян Win32/Corkow атакует российских пользователей|url = http://habrahabr.ru/company/eset/blog/212573/|publisher = habrahabr.ru|archive-date = 2016-02-14|archive-url = https://web.archive.org/web/20160214092514/http://habrahabr.ru/company/eset/blog/212573/|deadlink = no}}</ref>.


=== 2013 год ===
=== 2013 год ===
Впервые панель управления, используемая Corkow (Metel), была обнаружена и проанализирована<ref>{{Cite web|accessdate = 2016-02-08|author = Graham Cluley posted 11 Feb 2014- 09:20AM|title = Corkow - the Bitcoin-curious Russian banking trojan|url = http://www.welivesecurity.com/2014/02/11/corkow-bitcoin-russian-banking-trojan/|publisher = We Live Security}}</ref>.
Впервые панель управления, используемая Corkow (Metel), была обнаружена и проанализирована<ref>{{Cite web|accessdate = 2016-02-08|author = Graham Cluley posted 11 Feb 2014- 09:20AM|title = Corkow - the Bitcoin-curious Russian banking trojan|url = http://www.welivesecurity.com/2014/02/11/corkow-bitcoin-russian-banking-trojan/|publisher = We Live Security|archive-date = 2016-02-12|archive-url = https://web.archive.org/web/20160212022520/http://www.welivesecurity.com/2014/02/11/corkow-bitcoin-russian-banking-trojan/|deadlink = no}}</ref>.


=== 2014 год ===
=== 2014 год ===
Начиная с апреля 2014 года, бот-сеть на основе Corkow (Metel) стремительно растет. Работа этой бот-сети направлена на кражу денег из системы онлайн-банкинга и платежных систем. По состоянию на ноябрь 2014 года преступники заразили более 250 тысяч компьютеров, использующих Windows. 70% зараженных компьютеров находятся в России, 15% - в Украине. В целом, эта бот-сеть объединяет компьютеры из 86 стран. В течение 2 месяцев 2014 киберпреступники получили доступ к внутренним сетям 34 российских банков.По состоянию на ноябрь 2014 совокупный баланс скомпрометированных счетов клиентов превышал $ 250 млн<ref>{{Cite web|accessdate = 2016-02-08|title = Кражи на экспорт|url = http://www.banki.ru/news/daytheme/?id=8371886|publisher = Банки.ру}}</ref>.
Начиная с апреля 2014 года, бот-сеть на основе Corkow (Metel) стремительно растет. Работа этой бот-сети направлена на кражу денег из системы онлайн-банкинга и платежных систем. По состоянию на ноябрь 2014 года преступники заразили более 250 тысяч компьютеров, использующих Windows. 70 % зараженных компьютеров находятся в России, 15 % — на Украине. В целом, эта бот-сеть объединяет компьютеры из 86 стран. В течение 2 месяцев 2014 киберпреступники получили доступ к внутренним сетям 34 российских банков. По состоянию на ноябрь 2014 совокупный баланс скомпрометированных счетов клиентов превышал $ 250 млн<ref>{{Cite web|accessdate = 2016-02-08|title = Кражи на экспорт|url = http://www.banki.ru/news/daytheme/?id=8371886|publisher = Банки.ру|archive-date = 2016-02-04|archive-url = https://web.archive.org/web/20160204105833/http://www.banki.ru/news/daytheme/?id=8371886|deadlink = no}}</ref>.


=== 2015 год ===
=== 2015 год ===
В феврале 2016 года Group-IB сообщила, что в феврале 2015 года произошел первый в мировой практике крупный инцидент, когда киберпреступники, используя троян Corkow (Metel), получили контроль над терминалом торговой системы для торгов на различных биржевых рынках, что привело к выставлению заявок на сумму более 400 млн долларов<ref>{{Cite web|accessdate = 2016-02-08|author = Jake Rudnitsky Rudnit Ilya Khrennikov|title = Russian Hackers Moved Currency Rate With Malware, Group-IB Says|url = http://www.bloomberg.com/news/articles/2016-02-08/russian-hackers-moved-currency-rate-with-malware-group-ib-says|publisher = Bloomberg.com}}</ref><ref>{{Cite web|accessdate = 2016-02-08|title = Скачки курса рубля в феврале действительно были делом рук хакеров|url = http://www.vedomosti.ru/finance/articles/2015/04/23/skachki-kursa-rublya-v-fevrale-deistvitelno-bili-delom-ruk-hakerov|publisher = www.vedomosti.ru}}</ref>. Как говорится в отчете [[Group-IB]], используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара<ref>{{Cite web|accessdate = 2016-02-08|author = Quote.ru|title = Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка|url = http://voozl.com/material/group-ib-uchastie-hakerov-v-dele|publisher = voozl.com}}</ref>. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 - 62 рубля за доллар. Эксперты Group-IB также сообщили, что в августе 2015 года произошел другой важный инцидент с использованием расчетной системы, объединяющей около 250 банков и позволяющей снимать средства с карт Visa и MasterCard по выгодным тарифам. Тогда через банкоматы одного из участников этой расчетной системы было выдано несколько сотен миллионов рублей, которые, как выяснилось позже, были результатом хакерской атаки с использованием все того же трояна Corkow (Metel)<ref>{{Cite web|accessdate = 2016-02-08|title = Corkow Trojan Removal Report|url = http://www.enigmasoftware.com/corkowtrojan-removal/|publisher = www.enigmasoftware.com}}</ref>.
В феврале 2016 года было сообщено<ref name=autogenerated2>{{Cite web|accessdate = 2016-02-08|title = Group-IB рассказала об уникальном случае атаки на валютного брокера с помощью трояна Corkow (Metel)|url = http://www.group-ib.ru/media/corkow-metel/|publisher = www.group-ib.ru|archive-date = 2016-02-15|archive-url = https://web.archive.org/web/20160215184021/http://www.group-ib.ru/media/corkow-metel/|deadlink = no}}</ref>, что в феврале 2015 года произошел первый в мировой практике крупный инцидент, когда киберпреступники, используя троян Corkow (Metel), получили контроль над терминалом торговой системы для торгов на различных биржевых рынках, что привело к выставлению заявок на сумму более 400 млн долларов<ref name=autogenerated1 /><ref>{{Cite web|accessdate = 2016-02-08|title = Скачки курса рубля в феврале действительно были делом рук хакеров|url = http://www.vedomosti.ru/finance/articles/2015/04/23/skachki-kursa-rublya-v-fevrale-deistvitelno-bili-delom-ruk-hakerov|publisher = www.vedomosti.ru|archive-date = 2016-02-14|archive-url = https://web.archive.org/web/20160214081713/http://www.vedomosti.ru/finance/articles/2015/04/23/skachki-kursa-rublya-v-fevrale-deistvitelno-bili-delom-ruk-hakerov|deadlink = no}}</ref>. Как говорится в отчете, используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара<ref>{{Cite web|accessdate = 2016-02-08|author = Quote.ru|title = Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка|url = http://voozl.com/material/group-ib-uchastie-hakerov-v-dele|publisher = voozl.com|archiveurl = https://web.archive.org/web/20160214013346/http://voozl.com/material/group-ib-uchastie-hakerov-v-dele|archivedate = 2016-02-14|deadlink = yes}}</ref>. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 — 62 рубля за доллар. По данным [[Лаборатория Касперского|Лаборатории Касперского]], злоумышленники также смогли совершить многомиллионное изъятие из банкоматов банка-жертвы всего за одну ночь, используя функцию отмены банковских транзакций. Благодаря ей, после каждого снятия баланс карточного счета не уменьшался<ref>{{Cite web|url=https://securelist.ru/uvelichivaetsya-kolichestvo-apt-ograblenij-bankov-s-ispolzovaniem-atak-metel-gcman-i-carbanak-2-0/28044/|title=Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0 - Securelist|publisher=securelist.ru|accessdate=2020-05-19|archive-date=2020-10-27|archive-url=https://web.archive.org/web/20201027071153/https://securelist.ru/uvelichivaetsya-kolichestvo-apt-ograblenij-bankov-s-ispolzovaniem-atak-metel-gcman-i-carbanak-2-0/28044/|deadlink=no}}</ref>.


== Функционал трояна ==
== Функциональность трояна ==
Функциональность модулей Corkow (Metel)<ref>{{Cite web|accessdate = 2016-02-08|title = Анализ банковского трояна Win32/Corkow|url = http://habrahabr.ru/company/eset/blog/214197/|publisher = habrahabr.ru}}</ref>:
Функциональность модулей Corkow (Metel)<ref>{{Cite web|accessdate = 2016-02-08|title = Анализ банковского трояна Win32/Corkow|url = http://habrahabr.ru/company/eset/blog/214197/|publisher = habrahabr.ru|archive-date = 2016-02-14|archive-url = https://web.archive.org/web/20160214103029/http://habrahabr.ru/company/eset/blog/214197/|deadlink = no}}</ref>:


Пропускает антивирусные решения, остается незамеченным при исполнении;
Пропускает антивирусные решения, остается незамеченным при исполнении;
Строка 34: Строка 35:
Может заменять отображаемое на веб-страницах.
Может заменять отображаемое на веб-страницах.


Это позволяет киберпреступникам организовать целевые атаки и шпионить за деятельностью предприятий из их собственных внутренних сетей. Их главная цель состоит в том, чтобы украсть деньги клиентов финансовых учреждений, в первую очередь средства юридических лиц<ref>{{Cite web|accessdate = 2016-02-08|title = Helpful Tips on Removing Corkow Trojan Virus {{!}} DooHelp.com|url = http://blog.doohelp.com/helpful-tips-on-removing-corkow-trojan-virus/|publisher = blog.doohelp.com}}</ref>.
Это позволяет киберпреступникам организовать целевые атаки и шпионить за деятельностью предприятий из их собственных внутренних сетей. Их главная цель состоит в том, чтобы украсть деньги клиентов финансовых учреждений, в первую очередь средства юридических лиц<ref>{{Cite web|accessdate = 2016-02-08|title = Helpful Tips on Removing Corkow Trojan Virus {{!}} DooHelp.com|url = http://blog.doohelp.com/helpful-tips-on-removing-corkow-trojan-virus/|publisher = blog.doohelp.com|archive-date = 2016-02-14|archive-url = https://web.archive.org/web/20160214083341/http://blog.doohelp.com/helpful-tips-on-removing-corkow-trojan-virus/|deadlink = no}}</ref>.


== Ссылки ==
== Ссылки ==
[http://www.bloomberg.com/news/articles/2016-02-08/russian-hackers-moved-currency-rate-with-malware-group-ib-says Russian Hackers Moved Currency Rate With Malware, Group-IB Says]


[http://www.vedomosti.ru/finance/articles/2015/04/23/skachki-kursa-rublya-v-fevrale-deistvitelno-bili-delom-ruk-hakerov Ведомости: Скачки курса рубля в феврале действительно были делом рук хакеров. Виноват «вредонос» Corkow.]


[http://www.vedomosti.ru/finance/articles/2015/04/23/skachki-kursa-rublya-v-fevrale-deistvitelno-bili-delom-ruk-hakerov Ведомости: Скачки курса рубля в феврале действительно были делом рук хакеров. Виноват «вредонос» Corkow.] {{Wayback|url=http://www.vedomosti.ru/finance/articles/2015/04/23/skachki-kursa-rublya-v-fevrale-deistvitelno-bili-delom-ruk-hakerov |date=20160214081713 }}
[http://www.fomag.ru/ru/news/companiespage.aspx?news=7178 Энергобанк мог потерять свои деньги из-за кибератаки]
[http://www.banki.ru/news/daytheme/?id=8371886 Кражи на экспорт]


[http://www.fomag.ru/ru/news/companiespage.aspx?news=7178 Энергобанк мог потерять свои деньги из-за кибератаки] {{Wayback|url=http://www.fomag.ru/ru/news/companiespage.aspx?news=7178 |date=20160423102316 }}
[http://voozl.com/material/group-ib-uchastie-hakerov-v-dele Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка]
[http://www.banki.ru/news/daytheme/?id=8371886 Кражи на экспорт] {{Wayback|url=http://www.banki.ru/news/daytheme/?id=8371886 |date=20160204105833 }}


== Примечания ==
== Примечания ==
{{примечания}}

[[Категория:Хакерство]]

Текущая версия от 16:34, 24 июля 2023

Corkow (от англ. corkow — затаивать, прятать, второе название Metel) — анонимная киберпреступная группа (хакерская группировка), активная с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. В отличие от Carberp, который получил мировую известность, Corkow (Metel) не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время. Ситуация изменилась в 2014 году, когда совокупный баланс скомпрометированных трояном Corkow (Metel) счетов клиентов превысил $ 250 млн.[1].

Деятельность

[править | править код]

2011 год

[править | править код]

Первое упоминание трояна Corkow (Metel).

2012 год

[править | править код]

Системы телеметрии фиксировала резкие спады и подъёмы в активности этой вредоносной программы с начала её первого обнаружения. Так во второй половине 2012 г. наблюдался спад её активности, после чего активность снова возросла. Возможно группа, распространявшая Corkow (Metel), была привлечена к уголовной ответственности и не могла осуществлять свою деятельность в этот период[2].

2013 год

[править | править код]

Впервые панель управления, используемая Corkow (Metel), была обнаружена и проанализирована[3].

2014 год

[править | править код]

Начиная с апреля 2014 года, бот-сеть на основе Corkow (Metel) стремительно растет. Работа этой бот-сети направлена на кражу денег из системы онлайн-банкинга и платежных систем. По состоянию на ноябрь 2014 года преступники заразили более 250 тысяч компьютеров, использующих Windows. 70 % зараженных компьютеров находятся в России, 15 % — на Украине. В целом, эта бот-сеть объединяет компьютеры из 86 стран. В течение 2 месяцев 2014 киберпреступники получили доступ к внутренним сетям 34 российских банков. По состоянию на ноябрь 2014 совокупный баланс скомпрометированных счетов клиентов превышал $ 250 млн[4].

2015 год

[править | править код]

В феврале 2016 года было сообщено[5], что в феврале 2015 года произошел первый в мировой практике крупный инцидент, когда киберпреступники, используя троян Corkow (Metel), получили контроль над терминалом торговой системы для торгов на различных биржевых рынках, что привело к выставлению заявок на сумму более 400 млн долларов[1][6]. Как говорится в отчете, используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара[7]. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 — 62 рубля за доллар. По данным Лаборатории Касперского, злоумышленники также смогли совершить многомиллионное изъятие из банкоматов банка-жертвы всего за одну ночь, используя функцию отмены банковских транзакций. Благодаря ей, после каждого снятия баланс карточного счета не уменьшался[8].

Функциональность трояна

[править | править код]

Функциональность модулей Corkow (Metel)[9]:

Пропускает антивирусные решения, остается незамеченным при исполнении;

Похищает ключи и пароли системы онлайн-банкинга на основе iBank2, IFOBS и SBRF;

Похищает все онлайн-формы (в том числе формы авторизации) с помощью FG и модулей Pony;

Мониторит весь текст, набранный при помощи клавиатуры;

Шпионит за пользователяем; делает скриншоты и записывает видео;

Устанавливает скрытый удаленный доступ к зараженному компьютеру;

Может заменять отображаемое на веб-страницах.

Это позволяет киберпреступникам организовать целевые атаки и шпионить за деятельностью предприятий из их собственных внутренних сетей. Их главная цель состоит в том, чтобы украсть деньги клиентов финансовых учреждений, в первую очередь средства юридических лиц[10].

Ссылки

[править | править код]

Ведомости: Скачки курса рубля в феврале действительно были делом рук хакеров. Виноват «вредонос» Corkow. Архивная копия от 14 февраля 2016 на Wayback Machine

Энергобанк мог потерять свои деньги из-за кибератаки Архивная копия от 23 апреля 2016 на Wayback Machine Кражи на экспорт Архивная копия от 4 февраля 2016 на Wayback Machine

Примечания

[править | править код]
  1. 1 2 Jake Rudnitsky Rudnit Ilya Khrennikov. Russian Hackers Moved Currency Rate With Malware, Group-IB Says. Bloomberg.com. Дата обращения: 8 февраля 2016. Архивировано 19 февраля 2020 года.
  2. Банковский троян Win32/Corkow атакует российских пользователей. habrahabr.ru. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.
  3. Graham Cluley posted 11 Feb 2014- 09:20AM. Corkow - the Bitcoin-curious Russian banking trojan. We Live Security. Дата обращения: 8 февраля 2016. Архивировано 12 февраля 2016 года.
  4. Кражи на экспорт. Банки.ру. Дата обращения: 8 февраля 2016. Архивировано 4 февраля 2016 года.
  5. Group-IB рассказала об уникальном случае атаки на валютного брокера с помощью трояна Corkow (Metel). www.group-ib.ru. Дата обращения: 8 февраля 2016. Архивировано 15 февраля 2016 года.
  6. Скачки курса рубля в феврале действительно были делом рук хакеров. www.vedomosti.ru. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.
  7. Quote.ru. Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка. voozl.com. Дата обращения: 8 февраля 2016. Архивировано из оригинала 14 февраля 2016 года.
  8. Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0 - Securelist. securelist.ru. Дата обращения: 19 мая 2020. Архивировано 27 октября 2020 года.
  9. Анализ банковского трояна Win32/Corkow. habrahabr.ru. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.
  10. Helpful Tips on Removing Corkow Trojan Virus | DooHelp.com. blog.doohelp.com. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.
Источник — https://ru.wikipedia.org/ruwiki/w/index.php?title=Corkow&oldid=131921418