Десятки банков России, США и Британии атаковали хакеры-невидимки

По данным международной компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений, наименее изученная и практически не «светящаяся» в новостях русскоязычная хакерская группировка MoneyTaker за 1,5 года около 20 раз успешно атаковала банки и прочие юридические организации в России, США и Великобритании.

Эти хакеры предпочитают взлом систем карточного процессинга и межбанковских переводов АРМ КБР и, вероятно, SWIFT. В Threat Intelligence Group-IB считают, что в ближайшем будущем MoneyTaker плотно займется Латинской Америкой.

MoneyTaker регулярно целенаправленно атакует банки, но до информации от Group-IB сведения о них не попадали в открытые источники. Кроме банков, MoneyTaker портит жизнь адвокатским конторам и производителям финансового ПО. По подсчетам Group-IB, группа атаковала 16 компаний США со средним ущербом от атаки $500 тыс., 3 российских и 1 британский банк. В России группа похищает, взломав АРМ КБР, в среднем 72 млн рублей за один раз.

Группа долго была «невидимкой» благодаря обширному арсеналу инструментов обхода антивирусных и антиспам- систем, уничтожению следов своих атак и использованию общедоступных инструментов. Один банк MoneyTaker ограбили дважды.

Первая отмеченная атака группы датируется весной прошлого года. В августе 2016 года MoneyTaker вывели деньги из одного российского банка, воспользовавшись системой межбанковских переводов ЦБ РФ АРМ КБР. Лишь одну атаку (в РФ) получилось оперативно выявить и предотвратить. В текущем году группа, ранее грабившая банки по всему миру, сузила свои интересы до РФ и США. Group-IB описывает единый «почерк» группы: использование распределенных инфраструктур с одноразовыми элементами и счетами, продолжение шпионажа за банком после его взлома и вывода денег, похищение внутренней документации, относящейся к специфике работы с банковскими системами по всему миру: руководств администраторов, внутренних инструкций и регламентов, форм заявок, журналов транзакций и т. д. По спискам похищенных документов эксперты предположили подготовку атаках в Латинской Америке.

MoneyTaker пользуется Pentest framework Server, легитимными инструментами для тестов на возможность проникновения Metasploit, который затем «управляет» атакой, проводит сетевую разведку, ищет уязвимые приложения, уязвимости, повышает права в системах, собирает информацию и т. п.

Стараясь оставаться в тени как можно дольше, эти хакеры пользуются «бестелесными» программами, работающими в оперативной памяти и самоуничтожающимися после перезагрузки и скриптами: их труднее обнаруживать антивирусом и проще модифицировать. Получив контроль над сетью банка, хакеры открывали или скупали на теневых рынках его карты и нанимали специальных людей, чтобы с их помощью снимать деньги, переходя от одного банкомата к другому.

В атаке на российские банки авторская программа хакеров искала и модифицировала платежные поручения, заменяла реквизиты на собственные и заметала следы, вновь меняя реквизиты на правильные после кражи.

Дата публикации: 2017-12-11 13:40:00
Источник: CNews