MoneyTaker

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 27. elokuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 12 muokkausta .

MoneyTaker on venäjänkielinen hakkeriryhmä, joka hyökkää pankkeja ja juridisia organisaatioita vastaan. Voimassa toukokuusta 2016 lähtien. Vuodesta 2021 lähtien ei ollut mahdollista tunnistaa hakkeriryhmän jäseniä [1] [2] .

Tänä aikana ryhmä teki ainakin 22 tunnistettua hyökkäystä eri yrityksiin. Niistä 16 oli tarkoitettu yhdysvaltalaisille pankeille , 5 venäläisille yrityksille ja yksi Iso- Britannian yritykselle [3] [4] [5] .

Tunnistetut hyökkäykset

MoneyTakerin ensimmäisen analyysiraportin mukaan vähintään 16 ryhmän tunnistamista hyökkäyksistä kohdistui yhdysvaltalaisia ​​organisaatioita vastaan . Yhden hyökkäyksen keskimääräinen vahinko oli 500 000 dollaria [3] [6] . Rikolliset varastivat asiakirjat OceanSystemsin FedLink-järjestelmään, jota käytti 200 pankkia Latinalaisessa Amerikassa ja Yhdysvalloissa [7] .

Venäjällä hakkerit ovat tehneet viisi hyökkäystä pankkeja vastaan ​​ja yhden asianajotoimistoon. Ryhmän hyökkäysten pääkohde Venäjällä oli pankkien välisten tilisiirtojen järjestelmä ARM KBR. Yhden tapahtuman aiheuttamat vahingot olivat keskimäärin 1,2 miljoonaa dollaria, mutta kärsineet pankit onnistuivat saamaan osan rahoista takaisin. Taloudellisten tappioiden kokonaismäärä ylitti 3 miljoonaa dollaria [6] [2] [8] .

Isossa-Britanniassa ohjelmisto- ja palveluntarjoajaa vastaan ​​hyökättiin [6] .

Historia

Toukokuussa 2016 tapahtui ryhmän ensimmäinen kirjattu hyökkäys: rahaa varastettiin yhdysvaltalaisesta pankista Floridassa , kun se pääsi FirstDatan STAR-korttien käsittelyjärjestelmään [7] .

Elokuussa 2016 hakkerit murtautuivat onnistuneesti yhteen venäläisistä pankeista, joka käytti pankkien välistä KBR ARM -siirtojärjestelmää. Päästyään järjestelmään hakkerit latasivat oman MoneyTaker v5.0 -ohjelmansa, joka suoritti alustuksen, tarkisti konfiguraatiotiedostossa määritettyjen moduulien olemassaolon ja varmuuskopiot tietyistä CBD AWS:n hakemistoista [2] [7] .

Lokakuussa 2017 kirjattiin kohdennettu hyökkäys rahoituslaitoksia vastaan ​​Venäjällä , Armeniassa ja Malesiassa . Tässä tutkijoiden mielipiteet kuitenkin erosivat: jotkut heistä antavat sen Hiljaisuus -ryhmään , toiset - MoneyTaker. Ensimmäinen hyökkäysaalto alkoi heinäkuussa. Hyökkääjät lähettivät tietojenkalasteluviestejä haitallisilla liitteillä, kun taas he saattoivat käyttää tähän jo tartunnan saaneiden laitosten infrastruktuuria ja lähettää viestejä oikeiden työntekijöiden puolesta [9] [10] .

Marraskuussa 2017 hakkerit pääsivät yhden Venäjän pankin CBR:n automatisoitujen työpaikkojen palvelimille ja työasemille, mutta he eivät voineet käyttää MoneyTaker v5.0 -haittaohjelmaa, koska palvelin oli täysin eristetyssä segmentissä. Epäonnistunut yritys varastaa rahaa pankkien välisen siirtojärjestelmän kautta, he siirtyivät keskittymään korttien käsittelyjärjestelmään. Vuonna 2018 onnistuimme löytämään tunkeutumisen lähtökohdan. Hakkerit pääsivät yritysverkkoon vuonna 2016 hyökkäämällä tämän rahoitusorganisaation järjestelmänvalvojan henkilökohtaiseen (koti)tietokoneeseen. Samanaikaisesti he käyttivät hyökkäyksen jälkeen ohjelmaa, joka poisti käyttämiensä ohjelmien kaikki komponentit, mutta teki koodiin virheen, joka jätti tiedot hyökkäyksen kohteena olevalle tietokoneelle.

Joulukuussa 2017 ryhmä tunnistettiin ja nimettiin MoneyTakeriksi hakkereiden käyttämän pääohjelman nimen mukaan [3] . Asiantuntijat ovat julkaisseet teknisen raportin, jossa kuvataan hakkereiden taktiikoita ja käytettyjä työkaluja. [2] [3] [7] .

Heinäkuussa 2018 kyberrikolliset hyökkäsivät PIR Bankiin Venäjällä. Pankista varastettiin ainakin $ 920 000. Sberbankin johtaja , saksalainen Gref , sanoi, että hyökkäyksen PIR Bankiin teki Carbanak-ryhmä. [11] Tapahtumaa tutkinut yritys kuitenkin ilmoitti, että tätä tietoa ei vahvistettu ja että MoneyTaker oli hyökkäyksen takana. Hakkerit vaaransivat pankin verkon vanhentuneen reitittimen kautta alueellisessa konttorissa, jota käytettiin toukokuussa. Rikollisten toimet pankin paikallisverkossa jäivät huomaamatta, kunnes he pääsivät KBR:n AWP:hen (Venäjän pankin asiakkaan automatisoitu työpaikka), joka tarvitaan rahojen nostamiseen. Varoja nostettiin 17 valmiiksi luodulle tilille. Suurin osa rahoista lunastettiin varkauden yönä. PIR Pankin työntekijät havaitsivat hakkeroinnin päivää myöhemmin. Pahantekijät yrittivät "saada jalansijaa" pankin verkostossa valmistautuakseen myöhempiä hyökkäyksiä, mutta ne havaittiin ajoissa. Joidenkin raporttien mukaan [12] pankki onnistui palauttamaan osan rahoista. Toisten mukaan oli jo liian myöhäistä peruuttaa liiketoimet [4] [13] .

Saman vuoden lokakuussa ryhmä lähetti phishing-sähköposteja, jotka oli tyylitelty Venäjän keskuspankin virallisiksi asiakirjoiksi [5] .

Vuonna 2021 hakkeriryhmän jäseniä ei voitu tunnistaa.

Työkalut ja taktiikka

Päästäkseen yrityksen verkkoon ryhmä käytti laillista Metasploit-kehystä ja PowerShell Empirea [8] .

Hakkerit ottivat käyttöön uuden infrastruktuurin jokaista kampanjaa varten, ja onnistuneen kompromissin jälkeen he tuhosivat huolellisesti jäljet ​​siitä, kuinka he tarkalleen pääsivät verkkoon [8] . Infrastruktuurien ainutlaatuinen ominaisuus oli Persistence-palvelimen käyttö, joka toimittaa hyötykuormia vain todellisille uhreille, joiden IP-osoitteet on sallittujen luettelossa [7] .

Ryhmän päätyökalu on laillinen läpäisytestauskehys Metasploit . Sen avulla rikolliset suorittivat verkon tiedustelua ja etsivät haavoittuvuuksia, käyttivät niitä hyväkseen, korottivat järjestelmän oikeuksia, keräsivät tietoa jne. Koko hyökkäystä ohjattiin palvelimelta, jolle Metasploit oli asennettu. Kun hyötykuorma (Meterpreter) käynnistettiin vaarantuneessa isännässä, se aloitti lähtevän SSL-yhteyden, mikä esti verkon turvajärjestelmien havaitsemisen. Oletuksena Metasploit luo itse allekirjoitettuja SSL-varmenteita ja määrittää satunnaiset arvot kenttiin: Voimassa alkaen, Voimassa asti, Yleisnimi, joka voi herättää epäilyksiä. Siksi MoneyTaker-ryhmä loi myös itse allekirjoitettuja SSL-varmenteita ennen hyökkäystä, mutta täytti kenttiä ei satunnaisesti, vaan osoitti tunnistettavien tuotemerkkien nimet, mikä vähensi havaitsemisen todennäköisyyttä [14] .

Alkuperäisessä kompromississa käytettiin kertakäyttöisiä palvelimia, jotka muuttuivat onnistuneen leviämisen jälkeen. Tällaiset palvelimet palauttivat haitallisen "hyötykuorman" vain tietylle hyökkäyksen kohteena olevalle yritykselle kuuluvien IP-osoitteiden luettelolle. Joten rikolliset estivät "hyötykuorman" pääsyn ulkopuolisille analyytikoille ja asiantuntijoille.

Hakkerit käyttivät laillisia PowerShell-työkaluja [8] sekä Citadel- ja Kronos -pankkitroijalaisia ​​[7] levitäkseen verkon yli . Hyökkääjät käyttivät kahta hyötykuorman jakelumenetelmää: julkaisivat suoritettavat tiedostot verkkokansiossa ja pakottivat ne ajamaan uhrin tietokoneella tai määrittelivät shell-koodin suoraan palvelun aloitusriville.

Pankkien välisten tapahtumien sieppaamiseen ryhmä käytti itse kirjoitettua MoneyTaker v5.0 -ohjelmaa [7] .

Salasanoissa, jotka vastaanotettiin NTLM-tiivisteenä ja joita ei purettu, käytettiin Pass-the-hash -mekanismia, jonka avulla NTLM-tiivistettä voidaan käyttää todentamiseen ilman salasanaa. Tätä varten käytettiin kaikkia samoja standardinmukaisia ​​psexec-moduuleja Metasploitissa ilman muutoksia. Uusiin järjestelmiin pääsyn jälkeen salasanatietojen keräämisprosessi toistettiin.

Ryhmä käytti "kehottomia" ohjelmia, jotka juoksivat vain RAM-muistissa ja tuhoutuivat uudelleenkäynnistyksen jälkeen [2] [6] . Saadakseen jalansijaa järjestelmässä hyökkääjät käyttivät PowerShell- ja VBS-skriptejä. MoneyTaker-ryhmän ominaisuus oli erillisen palvelimen käyttö näihin toimintoihin.

Hyötykuorman laukaisemiseen käytettiin dropperia. Tämä ohjelma purkaa asentimeen tallennetun datapuskurin salauksen salatussa muodossa ja syöttää sen aliprosessiin (käynnistettiin viimeksi).

Onnistuneen hyökkäyksen jälkeen ryhmällä ei ollut kiirettä poistua "rikospaikalta", vaan se jatkoi pankkien työntekijöiden vakoilua yritysverkkoon hakkeroinnin jälkeen varastaakseen myös sisäisiä dokumentteja pankkijärjestelmien kanssa työskentelystä (ylläpitäjän käsikirjat, sisäiset ohjeet ja määräykset, muutospyyntölomakkeet, tapahtumalokit jne.) [3] [15] .

Oikeiden järjestelmäoperaattoreiden työn seuraamiseen käytettiin laillista työkalua NirCmd (sallii etäkirjoittaa ja poistaa arvoja ja avaimia rekisterissä, kirjoittaa arvoja INI-tiedostoon, muodostaa yhteyden VPN -verkkoon , käynnistä tietokone uudelleen tai sammuta se, muuta luodun/muokatun tiedoston päivämäärää, muuta näyttöasetuksia, sammuta näyttö ja paljon muuta) sekä itsekirjoitettu kuvakaappaus ja näppäinlogger [7] .

Ryhmä vuokrasi palvelimia Venäjältä ja käytti Yandex- ja Mail.Ru -postia [16] [7] .

Muistiinpanot

  1. Aleksanteri Antipov. MoneyTaker-hakkeriryhmä hyökkää pankkeja vastaan ​​kaikkialla maailmassa . www.securitylab.ru (11. joulukuuta 2017). Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  2. ↑ 1 2 3 4 5 Hakkerihyökkäykset ryhmiteltiin  // Kommersant. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  3. ↑ 1 2 3 4 5 Group-IB arvioi venäjänkielisten MoneyTaker-hakkerien toiminnan laajuutta . RBC . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  4. 1 2 MoneyTaker iskee jälleen: pahamaineiset hakkerit varastavat miljoona dollaria venäläisestä PIR-   pankista ? . TechGenix (31. heinäkuuta 2018). Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  5. 1 2 Asiantuntijat ovat tallentaneet Silence-hakkeriryhmän hyökkäyksen venäläisiä pankkeja vastaan ​​keskuspankin puolesta . TASS . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  6. 1 2 3 4 Venäläisiin linkitetyt hakkerit Kohdepankit Moskovasta Utahiin , Bloomberg.com  (11. joulukuuta 2017). Arkistoitu alkuperäisestä 18. huhtikuuta 2022. Haettu 18. huhtikuuta 2022.
  7. ↑ 1 2 3 4 5 6 7 8 9 MoneyTaker Hacker Group varastaa miljoonia yhdysvaltalaisilta ja venäläisiltä   pankeilta ? . BleepingComputer . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  8. ↑ 1 2 3 4 Hakkerit rikkovat Venäjän pankkia ja varastavat miljoona dollaria vanhentuneen   reitittimen takia ? . BleepingComputer . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  9. Kaspersky Lab ilmoitti uudesta kohdistetusta kyberhyökkäyksestä venäläisiä pankkeja vastaan . TASS . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  10. Group-IB: venäläisiä pankkeja vastaan ​​hyökänneet hakkerit keskittyivät korttien käsittelyyn . TASS . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  11. Gref: Carbanak-hakkeriryhmä hyökkäsi PIR Bankiin . TASS . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  12. Kommersant ilmoitti ensimmäisestä onnistuneesta hakkerihyökkäyksestä pankkiin vuonna 2018 . RBC . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  13. Group-IB ilmoitti, että MoneyTaker-ryhmä oli PIR Bankin hakkerihyökkäyksen takana . TASS . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 26. helmikuuta 2020.
  14. Bloomberg - Oletko robotti? . www.bloomberg.com . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  15. Etsi hakkereita . www.comnews.ru _ Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.
  16. Utahista Jeniseihin: hakkerit hyökkäävät yhdysvaltalaisia ​​ja venäläisiä pankkeja vastaan . Sanomalehti.Ru . Haettu 29. heinäkuuta 2021. Arkistoitu alkuperäisestä 29. heinäkuuta 2021.