بعد مرور عام على تحذيرات شركة "كاسبرسكي لاب" بأن مجرمي الإنترنت سيبدأون باستخدام أدوات وتكتيكات مدعومة بما يعرف بالهجمات المتقدمة المستمرة (APTS) المنتشرة على المستوى المحلي، أكدت الشركة عودة ظهور عصابة Carbanak الإلكترونية ولكن بإصدار جديد يعرف باسم Carbanak 2.0، حيث تمكنت الشركة من كشف النقاب عن مجموعتين إضافيتين تتبعان نفس الأسلوب: وهما عصابة Metel وعصابة GCMAN. تستهدف هذه العصابة المؤسسات المالية باستخدام نمط التحقيق السري في الهجمات المستمرة المتقدمة (APT) وبرمجيات خبيثة مصممة وفق أغراض محددة، إلى جانب البرامج النظامية وخطط جديدة ومبتكرة للحصول على النقد.
وأعلن فريق التحليلات والأبحاث العالمي في "كاسبرسكي لاب" عن ذلك خلال قمة كاسبرسكي لاب للتحليل الأمني (SAS)، وهو حدث سنوي يجمع أبرز باحثي ومطور برامج مكافحة البرمجيات الخبيثة ووكالات إنفاذ القوانين يربط الباحثون مكافحة البرمجيات الخبيثة والمطورين، ووكالات إنفاذ القانون العالمية و CERTs وأعضاء من مجتمع الأبحاث الأمنية.
تستخدم عصابة مجرمي الإنترنتMetel الكثير من الخدع في خططها الهجومية، إلا أن المثير للاهتمام حولها أن لديها خطط ذكية للغاية: ومن خلال تمكنها من التحكم بالأجهزة داخل البنوك التي تتيح الوصول إلى المعاملات النقدية (مثل أجهزة الكمبيوتر المثبتة في مراكز الاتصال/ دعم العملاء) تستطيع العصابة التحكم بأتمتة حركة لفافات أوراق قيد معاملات أجهزة الصراف الآلي.
تضمن إمكانية التحكم بحركة لفافات أوراق قيد معاملات أجهزة الصراف الآلي بقاء رصيد بطاقات الخصم من الحساب على حاله ودون تغيير، بصرف النظر عن عدد المعاملات التي تم إجراؤه عن طريق أجهزة الصراف الآلي.
ومن خلال الحالات التي تم رصدها حتى الآن، قام أفراد عصابة مجرمي الإنترنت بسرقة الأموال من خلال التجول بسياراتهم ليلاً في أنحاء المدن الروسية وتفريغ أجهزة الصراف الآلي العائدة لعدد من البنوك مرارا وتكرارا باستخدام بطاقات الخصم الصادرة عن نفس البنك المخترق. وفي غضون ليلة واحدة فقط تمكنوا من سحب الأموال.
وعلق الباحث الأمني الرئيسي في فريق التحليلات والأبحاث العالمي في "كاسبرسكي لاب"، سيرغي غولوفانوف بالقول، "من الملاحظ أن المرحلة النشطة لهجمات الانترنت قد أصبحت في الوقت الحاضر أقصر مدة. وعندما أصبح المهاجمون أكثر مهارة في عملية معينة، فلا يستغرق الأمر معهم سوى أيام معدودة فقط أو أسبوع لسرقة وتشغيل ما يريدون".
خلال تحقيقات المختبر الجنائي، توصل خبراء "كاسبرسكي لاب" إلى عصابة Metele الإلكترونية تحقق إصابتها الأولية عن طريق رسائل بريد إلكتروني خبيثة مصممة خصيصاً لهذا الغرض وتكون مصحوبة بمرفقات خبيثة، وكذلك من خلال رزمة برمجيات Niteris الخبيثة التي تستغل الثغرات الأمنية غير المكتشفة في متصفح الضحية.
وبمجرد أن تتغلغل في الشبكة، يستخدم مجرمو الإنترنت أدوات نظامية وشرعية للتحرك أفقياً، وقرصنة مركز التحكم في الدومين (Domain) المحلي، وفي نهاية المطاف، تحديد والتمكن من التحكم بجميع أجهزة الكمبيوتر المستخدمة من قبل موظفي البنك المسئولين عن إنجاز معاملات بطاقات الدفع.
ولاتزال عصابة Metel الإلكترونية نشطة والتحقيق في أنشطتها يجري على قدم وساق. ولم تسجل هناك هجمات لها إلى حد ما خارج روسيا. ومع ذلك، هناك ما يدعو للشك بأن العدوى منتشرة على نطاق واسع، وننصح البنوك حول العالم بالتحقق بشكل وقائي واستباقي من خلوها من الإصابة.
