MoneyTaker

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 27. august 2021; checks kræver 12 redigeringer .

MoneyTaker er en russisktalende hackergruppe, der angriber banker og juridiske organisationer. Gældende siden maj 2016. Fra og med 2021 var det ikke muligt at identificere medlemmer af hackergruppen [1] [2] .

I denne periode udførte gruppen mindst 22 identificerede angreb på forskellige virksomheder. Seksten af ​​dem var for amerikanske banker , 5 for russiske virksomheder og en for et firma i Storbritannien [3] [4] [5] .

Identificerede angreb

Ifølge den første analyserapport om MoneyTaker var mindst 16 af gruppens identificerede angreb mod organisationer i USA . Den gennemsnitlige skade fra et angreb var $500.000 [3] [6] . De kriminelle stjal dokumentation for OceanSystems' FedLink-system, som blev brugt af 200 banker i Latinamerika og USA [7] .

I Rusland har hackere foretaget fem angreb på banker og et på et advokatfirma. Hovedmålet for gruppens angreb i Rusland var systemet med interbankoverførsler ARM KBR. Den gennemsnitlige skade fra én hændelse beløb sig til 1,2 millioner dollars, men det lykkedes de berørte banker at inddrive en del af pengene. Det samlede beløb af økonomiske tab oversteg $3 millioner [6] [2] [8] .

I Storbritannien blev en software- og tjenesteudbyder angrebet [6] .

Historie

I maj 2016 fandt gruppens første registrerede angreb sted: penge blev stjålet fra en amerikansk bank i Florida som et resultat af at få adgang til FirstDatas STAR-kortbehandlingssystem [7] .

I august 2016 hackede hackere med succes ind i en af ​​de russiske banker, som brugte KBR ARM-interbankoverførselssystemet. Efter at have fået adgang til systemet, indlæste hackerne deres eget MoneyTaker v5.0-program, som udførte initialisering, tjekkede for tilstedeværelsen af ​​moduler specificeret i konfigurationsfilen og sikkerhedskopier af visse mapper i CBD AWS [2] [7] .

I oktober 2017 blev der registreret et målrettet angreb på finansielle institutioner i Rusland , Armenien og Malaysia . Men her var forskernes meninger forskellige: nogle af dem tilskriver det til Silence -gruppen , den anden - MoneyTaker. Den første bølge af angreb begyndte i juli. Angribere sendte phishing-e-mails ud med ondsindede vedhæftede filer, mens de kunne bruge infrastrukturen fra allerede inficerede institutioner til dette og sende beskeder på vegne af rigtige medarbejdere [9] [10] .

I november 2017 fik hackere adgang til servere og arbejdsstationer på CBR automatiserede arbejdspladser i en af ​​bankerne i Rusland, men de kunne ikke bruge MoneyTaker v5.0 malware på grund af, at serveren var i et fuldstændig isoleret segment. Efter et mislykket forsøg på at stjæle penge gennem interbankoverførselssystemet, skiftede de deres fokus til kortbehandlingssystemet. I 2018 lykkedes det at finde udgangspunktet for indtrængen. Hackere fik adgang til virksomhedens netværk i 2016 ved at angribe den personlige (hjemme)computer hos administratoren af ​​denne finansielle organisation. Samtidig brugte de efter angrebet et program, der fjernede alle komponenter i de programmer, de brugte, men lavede en fejl i koden, som efterlod dataene på den angrebne computer.

I december 2017 blev gruppen identificeret og navngivet MoneyTaker, efter navnet på hovedprogrammet brugt af hackerne [3] . Specialister har udgivet en teknisk rapport, der beskriver hackernes taktik og de anvendte værktøjer. [2] [3] [7] .

I juli 2018 angreb cyberkriminelle PIR Bank i Rusland. Mindst 920.000 $ blev stjålet fra banken. Lederen af ​​Sberbank , German Gref , sagde, at angrebet på PIR Bank blev udført af Carbanak-gruppen. [11] Virksomheden, der undersøgte hændelsen, oplyste dog, at disse oplysninger ikke var bekræftet, og at MoneyTaker stod bag angrebet. Hackere kompromitterede bankens netværk gennem en forældet router i en regional filial, som blev tilgået i maj. De kriminelles handlinger i bankens lokale netværk gik ubemærket hen, indtil de kom til AWP af KBR (automatiseret arbejdsplads for klienten af ​​Bank of Russia), der er nødvendig for tilbagetrækning af penge. Der blev trukket midler til 17 forud oprettede konti. De fleste af pengene blev udbetalt natten til tyveriet. PIR Bank-medarbejdere opdagede hacket en dag senere. Bagmændene forsøgte at "få fodfæste" i bankens netværk for at forberede efterfølgende angreb, men de blev opdaget i tide. Ifølge nogle rapporter [12] lykkedes det banken at returnere en del af pengene. Ifølge andre var det allerede for sent at tilbageføre transaktionerne [4] [13] .

I oktober samme år udsendte gruppen phishing-e-mails stiliseret som officielle dokumenter fra Den Russiske Føderations centralbank [5] .

For 2021 var det ikke muligt at identificere medlemmer af hackergruppen.

Værktøjer og taktik

For at trænge ind i virksomhedens netværk brugte gruppen den legitime Metasploit-ramme og PowerShell Empire [8] .

Hackerne implementerede en ny infrastruktur for hver kampagne, og efter et vellykket kompromis ødelagde de omhyggeligt spor af, hvordan de præcis fik adgang til netværket [8] . Et unikt træk ved infrastrukturerne var brugen af ​​en Persistence-server, der kun leverer nyttelast til rigtige ofre, hvis IP-adresser er hvidlistet [7] .

Gruppens vigtigste værktøj er den legitime ramme for penetrationstest Metasploit . Med dens hjælp gennemførte kriminelle netværksrekognoscering og ledte efter sårbarheder, udnyttede dem, forhøjede rettigheder i systemet, indsamlede informationer osv. Hele angrebet blev styret fra den server, som Metasploit var installeret på. Da nyttelasten (Meterpreter) blev lanceret på en kompromitteret vært, initierede den en udgående SSL-forbindelse, som undgik registrering af netværkssikkerhedssystemer. Som standard genererer Metasploit selvsignerede SSL-certifikater og angiver tilfældige værdier i felterne: Gyldig fra, Gyldig til, Fælles navn, hvilket kan vække mistanke. Derfor genererede MoneyTaker-gruppen også selvsignerede SSL-certifikater før angrebet, men udfyldte felterne ikke tilfældigt, men angav navnene på genkendelige mærker, hvilket reducerede sandsynligheden for opdagelse [14] .

Til det indledende kompromis blev der brugt engangsservere, som ændrede sig efter en vellykket penetration. Sådanne servere returnerede kun en ondsindet "nyttelast" for en sæt liste over IP-adresser, der tilhører den angrebne virksomhed. Så de kriminelle forhindrede "nyttelasten" i at komme til eksterne analytikere og eksperter.

Hackere brugte legitime PowerShell-værktøjer [8] såvel som Citadel- og Kronos-banktrojanere [7] til at sprede sig over netværket . Angriberne brugte to metoder til distribution af nyttelast: udgivelse af eksekverbare filer i en netværksmappe og tvang dem til at køre på offerets computer, eller specificering af shell-koden direkte i tjenestens startlinje.

Til at opsnappe interbanktransaktioner brugte gruppen et selvskrevet program MoneyTaker v5.0 [7] .

For adgangskoder, der blev modtaget som en NTLM-hash og ikke blev dekrypteret, blev Pass-the-hash-mekanismen brugt, som gør det muligt at bruge en NTLM-hash til godkendelse uden at kende adgangskoden. Til dette blev alle de samme standard psexec-moduler i Metasploit brugt uden nogen ændring. Efter at have fået adgang til nye systemer blev processen med at indsamle adgangskodeoplysninger gentaget.

Gruppen brugte "disembodied" programmer, der kun kørte i RAM og blev ødelagt efter en genstart [2] [6] . For at få fodfæste i systemet brugte angriberne PowerShell og VBS scripts. Et træk ved MoneyTaker-gruppen var brugen af ​​en separat server til disse operationer.

Dropper blev brugt til at starte nyttelasten. Dette program dekrypterer databufferen, der er gemt i installationsprogrammet, i krypteret form og injicerer det i den underordnede proces (lanceret sidst).

Efter et vellykket angreb havde gruppen ikke travlt med at forlade "gerningsstedet", men fortsatte med at udspionere bankmedarbejdere efter at have hacket virksomhedens netværk for også at stjæle intern dokumentation om arbejdet med banksystemer (administratormanualer, interne instruktioner og regulativer, ændringsanmodningsformularer, transaktionslogfiler osv.) [3] [15] .

For at spore rigtige systemoperatørers arbejde blev det legitime værktøj NirCmd brugt (giver dig mulighed for at fjernskrive og slette værdier og nøgler i registreringsdatabasen, skrive værdier til en INI-fil, oprette forbindelse til et VPN -netværk , genstart eller sluk computeren, skift den oprettede/ændrede fildato, skift skærmindstillinger, sluk for skærm og meget mere) og selvskrevet skærmbillede og keylogger [7] .

Gruppen lejede servere i Rusland og brugte Yandex og Mail.Ru mail [16] [7] .

Noter

  1. Alexander Antipov. MoneyTaker-hackergruppen angriber banker over hele verden . www.securitylab.ru (11. december 2017). Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  2. ↑ 1 2 3 4 5 Hackerangreb blev grupperet  // Kommersant. Arkiveret fra originalen den 29. juli 2021.
  3. ↑ 1 2 3 4 5 Group-IB vurderede omfanget af aktiviteter for russisktalende MoneyTaker-hackere . RBC . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  4. 1 2 MoneyTaker slår til igen: Berygtede hackere stjæler $1 million fra Russian PIR   Bank ? . TechGenix (31. juli 2018). Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  5. 1 2 Eksperter har registreret et angreb fra Silence-hackergruppen på russiske banker på vegne af centralbanken . TASS . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  6. 1 2 3 4 Hackere knyttet til russere Målbanker fra Moskva til Utah , Bloomberg.com  (11. december 2017). Arkiveret fra originalen den 18. april 2022. Hentet 18. april 2022.
  7. ↑ 1 2 3 4 5 6 7 8 9 MoneyTaker Hacker Group stjæler millioner fra amerikanske og russiske   banker ? . Bleeping Computer . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  8. ↑ 1 2 3 4 Hackere bryder russisk bank og stjæler $1 million på grund af forældet   router ? . Bleeping Computer . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  9. Kaspersky Lab annoncerede et nyt målrettet cyberangreb på russiske banker . TASS . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  10. Group-IB: hackere, der angreb russiske banker, koncentrerede sig om kortbehandling . TASS . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  11. Gref: Carbanak hackergruppe angreb PIR Bank . TASS . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  12. Kommersant annoncerede det første vellykkede hackerangreb på en bank i 2018 . RBC . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  13. Group-IB rapporterede, at MoneyTaker-gruppen stod bag hackerangrebet på PIR Bank . TASS . Hentet 29. juli 2021. Arkiveret fra originalen 26. februar 2020.
  14. Bloomberg - Er du en robot? . www.bloomberg.com . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  15. Jagt efter hackere . www.comnews.ru _ Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.
  16. Fra Utah til Yenisei: hackere angriber amerikanske og russiske banker . Newspaper.Ru . Hentet 29. juli 2021. Arkiveret fra originalen 29. juli 2021.