MoneyTaker hakerska grupa ukrala milion dolara od ruske banke
U sistem su ušli kompromitovanjem rutera jedne od poslovnica banke.
Hakeri su 3. jula ukrali milion dolara iz ruske PIR banke preko sistema za transfer novca ruske centralne banke (sličan SWIFT-u). Novac su prebacili na 17 računa kod velikih ruskih banaka, a potom sa njih podigli gotovinu. Zatim su pokušali da obezbede trajno prisustvo u mreži banke za naredne napade.
Specijalisti za bezbednost ruske kompanije Group-IB su otkrili izvor napada, utvrdili redosled događaja i izolovali problem. Banka funkcioniše normalno i primenjuje sajber bezbednosne preporuke kako bi se sprečili slični napadi u budućnosti.
Forenzička analiza radnih stanica i servera u banci otkrila je da iza napada stoji MoneyTaker hakerska grupa. Hakeri su koristili specifične alate i tehnike koje su i ranije koristili u napadima na finansijske institucije. Takođe, IP adrese C&C servera napadača su iste kao u ranijim napadima.
Hakeri su operaciju napada na PIR banku otpočeli još krajem maja 2018. U sistem su ušli kompromitovanjem rutera jedne od poslovnica banke. Ruter je imao tunele koji su napadačima omogućili direktan pristup lokalnoj mreži banke. MoneyTaker grupa je poznata po ovoj tehnici, a koristili su je u najmanje 3 napada na banke.
Pomoću PowerShell skripti, hakeri obezbeđuju trajno prisustvo u sistemu banke i automatizaciju nekih faza napada. Kada su hakovali glavnu mrežu banke, uspeli su da uđu u AWS CBR, izvrše plaćanja i pošalju novac u nekoliko tranši na račune koje su unapred pripremili. Zaposleni u IT odeljenju su 4. jula uveče otkrili neautorizovane transakcije velikih suma novca i brzo zatražili od regulatora da blokira AWS CBR ključeve digitalnog potpisa, ali nije bilo moguće zaustaviti transfere na vreme.
Većina ukradenog novca je istog dana prebačena na račune 17 najvećih banaka, a saučesnici su momentalno (u finalnoj fazi) novac podigli sa bankomata. Hakeri su očistili logove u operativnim sistemima mnogih računara kako bi otežali reagovanje na incident i kasniju istragu. Isto su radili i u prethodnim napadima. Kao dodatak, kriminalci su ostavili tzv. ’reverse shells’, programe koji povezuju servere hakera sa mrežom banke i čekaju nove komande za nove napade i dobijanje pristupa mreži. IT specijalisti su ove programe uklonili.
Ko su MoneyTaker hakeri?
MoneyTaker je sajber kriminalna grupa koja se specijalizovala za ciljane napade na finansijske institucije. Fokus im je na obradi kartica i sistemima za međubankarski transfer novca (AWS CBR i SWIFT). Prvi put su aktivnosti ove grupe primećene u proleće 2016. godine kada su ukrali novac iz jedne američke banke nakon što su dobili pristup sistemu za obradu kartica. Nakon toga su se 4 meseca pritajili da bi u septembru iste godine izvršili napade na banke u Rusiji.
Group-IB je povezala hakersku grupu sa 10 napada na organizacije u SAD-u, UK-u i Rusiji. Od 2017, meta su samo organizacije u Rusiji i SAD-u. Ove godine u Rusiji su zabeležena 2 napada. Grupa koristi sopstveni set TTP-ova, nastoji da ostane neprimećena, koristi jednokratnu infrastrukturu, fileless softver i pažljivo uklanja tragove prisustva. Takođe, na specifičan način koriste Metasploit i PowerShell Empire.
3 hakerske grupe koje su bile najaktivnije ove godine (Cobalt, Silence i MoneyTaker) imaju različite pristupe (sheme) koje zavise od količine novca i načina podizanja gotovine. Napade na AWS CBR nije lako izvesti i oni se ne sreću često u praksi. Incident iz 2016. kada je MoneyTaker grupa ukrala 2 miliona dolara pomoću sopstvenog, istoimenog programa ostaje jedan od najvećih napada ove vrste.
Izvor: Security Affairs