Σε εφιάλτη για τις online συναλλαγές και τα τραπεζικά συστήματα, τους τραπεζίτες και τους χρήστες εξελίσσεται το Trojan «Core Bot». Το trojan αν και εντοπίστηκε και αναφέρθηκε αρχικά τον Αύγουστο του 2015 συνεχίζει να χρησιμοποιείται και διεισδύει με σχετική ευκολία στους browsers των χρηστών, ενώ διαπερνάει χωρίς να γίνει αντιληπτό πολλά συστήματα ασφαλείας τόσο τοπικά όσο και server, όπως επισημαίνει έρευνα της Crowdstrike που έχει στη διάθεσή του το Crisis Monitor.
Αναπάντητα είναι ακόμα τα ερωτηματικά για το group των hackers που το ανέπτυξε και το χρησιμοποιεί καθώς και γιατί το κρατά ερμητικά κλειστό ως κώδικα αλλά και για σε επίπεδο χρήσης, ενώ ιδιαίτερη ανησυχία προκαλεί το χαμηλό επίπεδο ετοιμότητας των τραπεζών απέναντι στη συγκεκριμήνη απειλή, στην Ευρώπη.
Το συγκεκριμένο trojan φαίνεται ότι χρησιμοποιείται αποκλειστικά από μια μικρή ομάδα hackers οι οποίοι το αντιμετωπίζουν ως εργαλείο “άνλτησης κεφαλαίων”
Οι δυνατότητές του και το υψηλό επίπεδο ανάπτυξής του συγκεκριμένου Trojan το καθιστούν όχι απλά απειλή αλλά πηγή συστημικού ρίσκου, για τις τράπεζες και πονοκέφαλο για τη διάδοση των on-line συναλλαγών στην Ευρώπη.
Όπως επισημαίνουν οι ειδικοί που έχουν αναλύσει το ίδιο το λογισμικό, τα ίχνη, τη στρατηγική και τα αποτελέσματά του, οι δημιουργοί του δεν το διανείμουν ελεύθερα στο internet, ούτε το πουλάνε, παρά μόνο το εκμεταλλεύονται για ίδιο όφελος απευθείας ή μέσω συνδεδεμένων ομάδων από τις οποίες παίρνουν ποσοστά επί των «κερδών».
Το Trojan υψηλής αρχιτεκτονικής
Αν και το Core Bot είναι ανιχνεύσιμο από ίχνη που αφήνει στις επικοινωνίες τύπου C2, ενώ μπορεί να εντοπιστεί από τη χρήση fixed HTTP user agent, εν τούτοις αυτό συμβαίνει ότι είναι ήδη πολύ αργά, καθώς μπαίνει στο σύστημα μέσω εφαρμογών java κυρίως και κατά τη διάρκεια αλληλεπίδρασης του χρήστη με εφαρμογές στο internet, ως αυτοεκτελούμενο αρχείο στο παρασκήνιο, ακόμα και με spam mails.
Από τη ανάλυση του λογισμικού προκύπτει ότι οι επιδόσεις του είναι άνω του μετρίου που συνεπάγεται ότι η ανάπτυξή του απαιτεί προγραμματιστές με εξειδικευμένες γνώσεις. Παράλληλα η μικρή του διείσδυση στην αγορά κλοπής στοιχείων κατά τη διάρκεια online συναλλαγών με εμπόρους και τράπεζες καθιστά σαφές ότι οι δημιουργοί του δεν θέλουν να εκτεθούν και να κινήσουν υποψίες και γι αυτό κρατούν χαμηλό προφίλ.
Τέλος, αξίζει να σημειωθεί ότι το πεδίο δράσης του για την ώρα είναι περιορισμένο στις ΗΠΑ, τον Καναδά και τη Βόρειο Αφρική, ενώ η χρήση επεκτείνεται ήδη στο Χονγκ Κόνγκ, που σημαίνει ότι μπορεί να επεκταθεί ανά πάσα στιγμή στην Ευρώπη.
Αξίζει να σημειωθεί ότι το Core bot μπορεί και παρεμβάλλεται υποκλέπτοντας δεδομένα ακόμα και από τα συστήματα ασφαλείας δύο παραγόντων (two factor login), γεγονός που το καθιστά ακόμα πιο επικίνδυνο.
Πρόκειται για Trojan κλειστού κώδικα, ενώ δεν φαίνεται να έχει σχέση με άλλα σχετικά Trojan που χρησιμοποιούνται για να υποκλέψουν συναλλαγές, καθιστώντας ουσιαστικά προηγμένη απειλή.
Οι ειδικοί εκφράζουν πλέον ανησυχία για το ενδεχόμενο υποτίμησης κινδύνων όπως το Core Bot, κάτι που θα οδηγούσε στην αύξηση των κινδύνων και των κλοπών προσωπικών δεδομένων αποδυναμώνοντας το αίσθημα ασφάλειας των χρηστών και τη διάθεση για online συναλλαγές.
Η αλληλουχία αυτή θα έχει ως άμεση συνέπεια την αποδυνάμωση των λειτουργικών ροών των τραπεζών, την καθίζιση των εσόδων από λειτουργικές δραστηριότητες και την αύξηση των κινήσεων σε μετρητά.
