Специалисты FireEye смогли изучить исходный код бэкдора Carbanak, после того как обнаружили материалы на сайте VirusTotal. Исследователям понадобилось два года, чтобы погрузиться в код и разобраться во всех особенностях зловреда.

Первыми о группировке, известной как Carbanak, Anunak и Cobalt, рассказали в 2015 году эксперты «Лаборатории Касперского». По их оценкам, на тот момент ущерб от действий киберпреступников уже составил миллиард долларов. В основном злоумышленники атаковали финансовые организации, однако среди их жертв появились и компании из других сфер.

В 2018 году в результате международной операции правоохранительные органы смогли арестовать главаря Carbanak и нескольких его сообщников. К сожалению, преступникам понадобилось всего два месяца, чтобы возобновить атаки.

В своих кампаниях Carbanak использует уникальный бэкдор, который открывает доступ к платежным системам целевых организаций. До недавней находки антивирусные аналитики были вынуждены изучать его по бинарным кодам, что затрудняло противодействие зловреду. Исходный код позволит экспертам ознакомиться со внутренним устройством программы.

Находка представляет собой два архива общим весом 20 Мб, внутри которых содержатся почти 800 файлов. Чтобы разобраться в механике бэкдора, исследователям пришлось изучить 100 тыс. строк кода и пройти экспресс-курс русского языка — именно на нем написан интерфейс пользователя и комментарии для оператора.

Специалисты создали словарь, объединивший около 3,4 тыс. русских слов, и специальный Python-скрипт, который автоматизировал перевод материалов. В результате они смогли разобраться в том, какие эксплойты использует Carbanak, как избегает обнаружения и обрабатывает команды с управляющего сервера.

Как выяснилось, вирусописатели применили множество нетривиальных приемов, которые и обеспечили зловреду его впечатляющие способности. Так, при коммуникации с сервером Carbanak использует не традиционные HEX-команды, а технологию именованных каналов Windows (named pipes). Это обеспечивает бэкдору дополнительный уровень скрытности при проведении операций и избавляет от необходимости лишний раз обращаться к сети пораженного хоста.

Эксперты также отметили высокий уровень обфускации зловреда — они насчитали в коде несколько сотен случаев применения этой технологии. В сочетании с именованными каналами это помогает Carbanak эффективно скрываться от защитных систем.

Исследователи уже передали полученную информацию разработчикам программного обеспечения, чтобы те доработали защиту своих продуктов. Находка также позволила определить множество дополнительных индикаторов заражения, что позволяет надеяться на сокращение ущерба от будущих атак Carbanak.

Категории: Аналитика, Вредоносные программы