Хакеры-невидимки атаковали десятки банков в США, России и Великобритании

11 дек 2017 12:40 #64266 от ICT
Международная компания по предотвращению и расследованию киберпреступлений Group-IB объявила о раскрытии деятельности русскоязычной хакерской группировки MoneyTaker. Являясь наименее изученной специалистами и практически не освещаемой в прессе, всего за 1,5 года эта группа провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании. Основными мишенями хакеров в банках являются системы карточного процессинга, а также система межбанковских переводов: российская АРМ КБР (автоматизированное рабочее место клиента Банка России) и, предположительно, американская система SWIFT. По данным системы Threat Intelligence Group-IB, уже в ближайшее время целью MoneyTaker могут стать финансовые организации в Латинской Америке. MoneyTaker регулярно проводит целенаправленные атаки против банков, постоянно меняя локации, но до публикации отчета Group-IB в открытых источниках не было никаких сведений, описывающих их активность. MoneyTaker также атакует адвокатские конторы и производителей финансового программного обеспечения. В целом, на счету MoneyTaker 16 атак на компании США, 3 – на банки России и 1 – в Великобритании. В США средний ущерб от одной атаки составляет $500 тыс. В России средний объем извлеченных группой денежных средств в следствии компрометации АРМ КБР – 72 млн рублей. Группа долгое время оставалась незамеченной используя обширный арсенал инструментов, позволяющих обходить антивирусные и антиспам системы, уничтожать любые следы атаки и значительно затруднять исследование инцидентов постфактум. «Организуя атаки, MoneyTaker использует общедоступные инструменты, что делает процесс атрибуции инцидента нетривиальной задачей, – рассказал Дмитрий Волков, руководитель департамента киберразведки Group-IB. – Кроме того, инциденты происходят в разных регионах мира: один из банков они ограбили дважды, что свидетельствует о недостаточно качественном расследовании первого нападения. Мы впервые раскрываем связи всех обнаруженных нами 20 инцидентов и не исключаем новые хищения. Для того, чтобы снизить их вероятность, мы выпустили открытый отчет, объясняющий, как работает эта группа». Первая атака, с которой связана эта группа, была проведена весной 2016 г., когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. В августе 2016 г. они успешно взломали один из банков в России, где использовали программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР. Всего же за 2016 г. Group-IB зафиксировала 10 атак, реализованных MoneyTaker: 6 – на банки в США, 1 – на американского провайдера ИТ-услуг, 1 – на банк Англии и 2 – на российские банки. Лишь одна из них – в российском банке – была оперативно выявлена и предотвращена. С 2017 г. география сузилась до России и США. В результате расследования, проведенного с помощью системы Threat Intelligence, в Group-IB обнаружили связи между всеми 20 инцидентами. Речь идет не только об используемых инструментах, но и о сложно определяемом почерке группы, начиная от использования распределенной инфраструктуры, часть элементов которой является одноразовыми, и заканчивая схемой вывода денег: для каждой транзакции злоумышленники используют свой счет. Еще одна характерная черта: совершив успешную атаку, хакеры не спешили покидать «место преступления», продолжая шпионить за сотрудниками банка после взлома корпоративной сети с помощью пересылки входящих писем на адреса Yandex и Mail.ru в формате Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.. Важными находками, позволившими обнаружить связи между преступлениями, стали программы для повышения привилегий, скомпилированные на основе кодов с российской конференции ZeroNights 2016. Также в отдельных инцидентах использовались известные банковские трояны Citadel и Kronos. Последний применялся для установки POS-трояна ScanPOS. Исследуя инфраструктуру атакующих, специалисты Group-IB обнаружили, что MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т.п. Сейчас в Group-IB исследуют несколько эпизодов со скопированными документами о работе SWIFT. Их характер и географическая принадлежность могут свидетельствовать о готовящихся атаках на объекты в Латинской Америке. Для проведения целенаправленных атак MoneyTaker используют распределенную инфраструктуру, которую сложно отследить. Уникальной особенностью группы является применение Persistence сервера, который отдает полезную нагрузку только для реальных жертв, чьи IP-адреса добавлены в белый список. Для управления и координации действий MoneyTaker использует Pentest framework Server: на него устанавливаются легитимные инструменты для проведения тестов на проникновение Metasploit, он же «управляет» всей атакой. Именно Metasploit используется для проведения сетевой разведки, поиска уязвимых приложений, эксплуатации уязвимостей, повышения прав в системах, сбора информации и др. После успешного заражения одного из компьютеров и первичного закрепления в системе, атакующим необходимо начать исследование локальной сети, чтобы получить права администратора домена и, в конечном итоге, захватить полный контроль над сетью. Стараясь как можно дольше оставаться в тени, хакеры используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Для обеспечения персистентности (закрепления в системе) MoneyTaker делает ставку на скрипты – их тяжело обнаружить средствами антивирусной защиты и, при этом, легче модифицировать. Кроме того, для защиты взаимодействия вредоносной программы и сервера управления используются не случайно сгенерированные SSL-сертификаты, а специально созданные с использованием доверенных брендов (Bank of America, Federal Reserve Bank, Microsoft, Yahoo и др.). Первая атака на карточный процессинг, которую специалисты Group-IB связали с хакерами MoneyTaker, была проведена в мае 2016 г. Получив доступ в сеть банка, они скомпрометировали рабочее место операторов FirstData STAR network portal, внесли необходимые изменения и сняли деньги. В январе 2017 г. аналогичный инцидент произошел уже другом банке. После получения контроля над банковской сетью, атакующие проверяли, есть ли возможность подключаться к системе управления карточным процессингом. Затем они легально открывали или покупали на теневом рынке карты банка, в который они получили доступ. Дальше мулы (сообщники хакеров, роль которых – снимать деньги с карт) с открытыми ранее в этих банках картами уезжали в другую страну, где ждали сигнала о начале операции. Атакующие, используя доступ к карточному процессингу, убирали или увеличивали лимиты на снятие наличных для карт мулов, а также убирали овердрафт-лимиты, что позволяло уходить в минус даже по дебетовым картам. После чего мулы, используя эти карты, снимали наличные в одном банкомате, потом переходили к другому и так далее. Средний ущерб от одной такой атаки составлял $500 тыс. В Group-IB отмечают, что члены преступной группировки MoneyTaker используют как заимствованный софт, так и созданный ими. Например, для слежки за работой операторов банка с внутренними системами хакеры написали свое приложение, выполняющее функции скриншотера и кейлоггера. Оно предназначено для считывания вводимых пользователем клавиш, снятия скриншотов рабочего стола и перехвата содержимого буфера обмена. Приложение скомпилировано на языке Delfi и содержит 5 таймеров: те или иные функции приложения (активирует функции перехвата, делает скриншоты, отгружает данные, отключает себя и др.) выполняются при очередном срабатывании таймера. И здесь хакеры применили меры безопасности: в код таймера внедрена функция антиэмуляции для обхода антивирусов и средств автоматического анализа семплов. В атаке на АРМ КБР в одном из российских банков участвовала разработанная группой одноименная система Moneytaker v5.0. Это модульная программа, каждый компонент которой выполняет определенные действия: ищет платежные поручения и модифицирует их, заменяя имеющиеся реквизиты на реквизиты злоумышленников, а затем заметает следы. В момент внесения в платежное поручение изменений оно еще не подписано: на подпись отправляется измененная платежка с реквизитами мошенников. Помимо уничтожения следов, модуль сокрытия после списания меняет реквизиты злоумышленников в подтверждении дебета обратно на подлинные. Информация о деятельности группы MoneyTaker направлена компанией Group-IB в Европол, Интерпол и МВД. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Хакеры атаковали десятки российских банков, разослав зараженные письма от имени ЦБ25.43Среда, 16 марта 2016
    Хакеры атаковали десятки компаний-разработчиков ПО в России и Белоруссии22.67Вторник, 23 мая 2023
    Хакеры атаковали сайты арбитражных судов России16.02Среда, 16 марта 2022
    В Испании рассказали, как "хакеры из России и Китая" атаковали членов правительства15.68Вторник, 16 декабря 2014
    Как атаковали сайты в 2015 году: чаще всего китайские, в основном - хакеры из КНР и России15.35Среда, 27 января 2016
    Хакеры атаковали App Store13.78Понедельник, 21 сентября 2015
    «Украинские хакеры» атаковали ДНР и ЛНР13.78Среда, 18 мая 2016
    Росгвардию атаковали хакеры со 160 тыс. IP-адресов13.63Четверг, 26 января 2017
    Хакеры атаковали сайт и приложение РЖД13.63Среда, 05 июля 2023
    Хакеры атаковали предприятия российской оборонки13.48Четверг, 24 декабря 2015

    Мы в соц. сетях