1 милион долара хайд на руската банка започна хак на клон рутер

Хайст от 1 милион долара на руската банка започна с хак на клон рутерУвеличиHenry Burrows / Flickr

Една плодотворна хакерска група отново удари, този път краде близо 1 милион долара от руската PIR банка. Настъпи 3 юли хайст около пет седмици след като сложните хакери спечелиха за първи път достъп до мрежата на банката чрез компрометиране на рутер, използван от регионален клон.

Кражбата – която според kommersant.ru е консервативна оценена на около 910 000 долара – е най-новото постижение на група изследователи от охранителната фирма Group-IB наричат ​​групата MoneyTaker. в доклад, публикуван миналия ноември, който първи подробно описва групата, изследователи казаха, че членовете му са извършили 20 успешни атаки на финансови институции и юридически фирми в САЩ, Великобритания и Русия. В последващ доклад Group-IB заяви, че MoneyTaker нетира около $ 14 милиона хакове, 16 от които са извършени по цели в САЩ, пет на руски банки и една на банково-софтуерна компания в Великобритания.

Докато MoneyTaker е квалифициран в прикриването на своите дейности, Group-IB успя да свърже дръжките чрез проследяване на общ набор от тактики, техники и процедури. След като първоначално получи достъп към мрежата на целта, членовете често прекарват месеци в правене разузнаване в опит да се издигнат системните привилегии към тези на администратор на домейн. Членовете също се опитват да останат активни вътре хакерски мрежи дълго след извършването на кражбите. Най- атакуващите също използват различни свободно достъпни инструменти, популярни сред хакери и професионалисти по сигурността, включително Metasploit exploit Framework, управление на PowerShell на Microsoft рамка и различни скриптове Visual Basic.

Нападателите използват и няколко парчета злонамерен софтуер, включително техния съименник, MoneyTaker v5.0. Голяма част от зловредния софтуер е „без файл“, което означава, че съществува само в компютърната памет и не е съхранява се на твърди дискове. Тяхното разпределено командване и контрол инфраструктурата включва сървър, който доставя полезни товари само до IP адреси, бели в списъка с групата. По-ранен хак на руснак вътрешната мрежа на банката беше инициирана чрез достъп до дома компютър на един от неговите системни администратори.

Този месец атаката срещу PIR Bank отговаря на същия модел. Според съобщение на имейл от Group-IB:

От отговор на инцидентите Group-IB потвърди, че нападението на PIR Bank стартира в края на май 2018 г. Входната точка беше a компрометиран рутер, използван от един от регионалните клонове на банката. Най- рутер имаше тунели, които позволяваха на нападателите да получат директен достъп до местната мрежа на банката. Тази техника е характеристика на MoneyTaker. Тази схема вече е била използвана от тази група в поне три пъти, докато атакува банки с регионален клон мрежи.

Да се ​​установи постоянство в системите на банките и да се автоматизират някои от тях етапи от тяхната атака, групата MoneyTaker традиционно използва PowerShell скриптове. Тази техника беше анализирана подробно от Експертите на Group-IB в своя декемврийски доклад. Когато престъпниците хакна основната мрежа на банката, те успяха да получат достъп до AWS CBR (Клиент за автоматизирана работна станция на Руската централна банка), генерирайте платежни нареждания и изпращайте пари на няколко транша на муле сметки, подготвени предварително.

Вечерта на 4 юли, когато служителите на банката намериха неоторизирани транзакции с големи суми, те помолиха регулатора да блокира Ключовете за цифров подпис на AWS CBR, но не успяха да спрат финансовите преводи във времето. Повечето от откраднатите пари бяха прехвърлени на карти на 17-те най-големи банки в същия ден и веднага касирани от мулета на пари, участващи в последния етап на парите теглене от банкомати.

Едновременно с това нападателите използваха техника, характерна за MoneyTaker за покриване на техните записи в системата – те изчистиха регистрационните файлове на ОС на много компютри, което имаше за цел да попречи на реакцията на инцидент и последващото му разследване.

Освен това престъпниците са оставили някои така наречени „обратни снаряди“, програми, които свързват сървърите на хакерите от банката мрежа и чакат нови команди за провеждане на нови атаки и печалба достъпът до мрежата. По време на реакцията на инцидента това беше открити от служители на Group-IB и премахнати от банката sysadmins.

Group-IB предостави допълнителни подробности и препоръча превантивни стъпки към клиентите.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: