Исследователи Group-IB представили доклад о деятельности русскоязычной хакерской группировки MoneyTaker. Ранее об этом «коллективе» практически не писали в прессе, да и ИБ-специалисты ранее не уделяли MoneyTaker большого внимания. Между тем, по данным Group-IB, всего за полтора года эта группировка провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании.
Основными мишенями хакеров являются системы карточного процессинга, а также российская система межбанковских АРМ КБР (автоматизированное рабочее место клиента Банка России) и, предположительно, американская система SWIFT. По данным системы Threat Intelligence Group-IB, уже в ближайшее время целью MoneyTaker также могут стать финансовые организации в Латинской Америке.
Кроме того, MoneyTaker атакует адвокатские конторы и производителей финансового программного обеспечения. В целом, на счету MoneyTaker шестнадцать атак на компании США, три атаки на российские банки, и еще одна атака была зафиксирована в Великобритании. В США средний ущерб от одной атаки составляет 500 000 долларов США. В России средний объем извлеченных группой денежных средств (вследствие компрометации АРМ КБР) равен 72 000 000 рублей.
Специалисты рассказывают, что группа долгое время оставалась незамеченной, используя обширный арсенал инструментов, позволяющих обходить антивирусные и антиспам системы, уничтожать любые следы атаки и значительно затруднять исследование инцидентов постфактум. Исследователи сообщают, что вся информация о деятельности группы MoneyTaker уже была направлена компанией в Европол и Интерпол.
«Организуя атаки, MoneyTaker использует общедоступные инструменты, что делает процесс атрибуции инцидента нетривиальной задачей, – комментирует Дмитрий Волков, Руководитель департамента киберразведки Group-IB. – Кроме того, инциденты происходят в разных регионах мира: один из банков они ограбили дважды, что свидетельствует о недостаточно качественном расследовании первого нападения. Мы впервые раскрываем связи всех обнаруженных нами 20 инцидентов и не исключаем новые хищения. Для того чтобы снизить их вероятность, мы выпустили открытый отчет, объясняющий, как работает эта группа и почему мы убеждены, что все описываемые нами эпизоды – дело рук MoneyTaker».
Атаки MoneyTaker: проведенные и вероятные
Первая атака, с которой связана эта группа, была проведена весной 2016 года. Тогда, в результате получения доступа к системе карточного процессинга STAR компании FirstData, из неназванного американского банка были похищены деньги. В августе того же 2016 года группировка успешно взломала один из российских банков, который использовал программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР.
Суммарно в 2016 году специалисты Group-IB зафиксировали 10 атак, реализованных MoneyTaker: 6 на банки в США, 1 на американского провайдера IT-услуг, 1 на банк Англии и еще 2 – на российские банки. Лишь одна из этих атак (на российский банк) была оперативно выявлена и предотвращена.
В 2017 года география атак сузилась до России и США, но их общее количество осталось прежним: были произведены атаки на американские банки (8), адвокатскую контору (1), банки России (1).
После тщательного расследования аналитики Group-IB сумели обнаружить связи между всеми двадцатью инцидентами. Речь идет не только об используемых хакерами инструментах, но о сложно определяемом «почерке» группы, начиная от использования распределенной инфраструктуры, ряд элементов которой являются одноразовыми, и заканчивая схемой вывода денег (для каждой транзакции злоумышленники используют свой счет). Еще одна характерная черта: совершив успешную атаку, хакеры не спешили покидать «место преступления», продолжая шпионить за сотрудниками банка уже после взлома корпоративной сети, с помощью пересылки входящих писем на адреса Yandex и Mail.ru в формате first.last@yandex.com.
Также важными «находками», позволившими обнаружить связи между преступлениями, стали программы для повышения привилегий, скомпилированные на основе кодов с российской конференции ZeroNights 2016. Кроме того, в отдельных инцидентах использовались известные банковские трояны Citadel и Kronos. Так, последний применялся для установки POS-трояна ScanPOS.
Исследуя инфраструктуру атакующих, специалисты Group-IB обнаружили, что MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и так далее. На данный момент, в Group-IB исследуют несколько эпизодов со скопированными документами о работе SWIFT. Их характер и географическая принадлежность могут свидетельствовать о готовящихся атаках на объекты в Латинской Америке.
Арсенал для нападений и методы маскировки
В Group-IB отмечают, что члены преступной группировки MoneyTaker используют как заимствованный софт, так и созданный ими самими. Например, для слежки за работой операторов банка с внутренними системами хакеры написали собственное приложение, выполняющее функции скриншотера и кейлоггера.
Данное приложение предназначено для считывания нажатий клавиш, снятия скриншотов рабочего стола и перехвата содержимого буфера обмена. Приложение скомпиллировано на языке Delphi и содержит пять таймеров: те или иные функции приложения (активирует функции перехвата, делает скриншоты, отгружает данные, отключает себя и так далее) выполняются при очередном срабатывании таймера. При этом хакеры не забыли применить определенные меры безопасности, к примеру, в код таймера внедрена функция антиэмуляции для обхода антивирусов и средств автоматического анализа семплов.
В ходе атаки на АРМ КБР в одном из российских банков была задействована разработанная группой система Moneytaker v5.0. Это модульная программа, каждый компонент которой выполняет определенные действия: ищет платежные поручения и модифицирует их, подменяя имеющиеся реквизиты на реквизиты злоумышленников, а затем «заметает следы». На момент внесения изменений в платежное поручение оно еще не подписано, то есть на подпись отправляется измененная «платежка» с реквизитами мошенников.
Помимо уничтожения следов, модуль сокрытия заменяет реквизиты злоумышленников в подтверждении дебета обратно на подлинные уже после фактического списания. Таким образом, платежное поручение отправляется и принимается к исполнению с реквизитами злоумышленника, но ответы в банк приходят такие, словно реквизиты все время были верными. Это позволяет злоумышленникам выиграть дополнительное время до обнаружения хищений.
Для проведения целенаправленных атак MoneyTaker используют распределенную инфраструктуру, которую сложно отследить. Уникальной особенностью группы является применение Persistence-сервера, который отдает полезную нагрузку только для реальных жертв, чьи IP-адреса были добавлены в белый список.
Для управления и координации действий злоумышленники используют Pentest framework Server: на него устанавливаются легитимные инструменты для проведения тестов на проникновение. Так, Metasploi управляет всей атакой. Именно Metasploit используется для проведения сетевой разведки, поиска уязвимых приложений, эксплуатации уязвимостей, повышения прав в системах, сбора информации и выполнения других задач.
После успешного заражения одного из компьютеров и первичного закрепления в системе атакующим необходимо начать исследование локальной сети, чтобы получить права администратора домена и в конечном итоге захватить полный контроль над сетью.
Стараясь как можно дольше оставаться в тени, хакеры используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Для обеспечения персистентности (закрепления в системе) MoneyTaker делает ставку на скрипты: их тяжело обнаружить средствами антивирусной защиты, но при этом легче модифицировать. В некоторых случаях хакеры вносили изменения в код программ «на лету» – прямо во время проведения атаки.
Кроме того, чтобы защитить взаимодействие малвари с управляющим сервером используются не случайно сгенерированные SSL-сертификаты, а специально созданные сертификаты, использующие доверенные бренды (Bank of America, Federal Reserve Bank, Microsoft, Yahoo и тому подобные).
Атаки на карточный процессинг
Первая атака на карточный процессинг, которую специалисты Group-IB связали с хакерами MoneyTaker, была проведена в мае 2016 года. Получив доступ в сеть банка, группировка скомпрометировала рабочее место операторов FirstData STAR network portal, внесла необходимые изменения и сняла деньги. В январе 2017 году аналогичный инцидент произошел уже другом банке.
Схема атак MoneyTaker проста. После получения контроля над банковской сетью, хакеры проверяют, можно ли подключиться к системе управления карточным процессингом. Затем они легально открывают или покупают на черном рынке карты того банка, к которому получили доступ. После этого мулы (сообщники хакеров, единственная роль которых – снимать деньги с карт) с картами, ранее открытыми в этих банках, уезжают в другую страну, где ожидают сигнала о начале операции. Атакующие используют полученный доступ к карточному процессингу и убирают или увеличивают лимиты на снятие наличных для карт мулов, а также убирают овердрафт лимиты, что позволяет уходить в минус даже по дебетовым картам. Мулы, используя эти карты, снимают наличные в одном банкомате, потому переходят к другому и так далее. Средний ущерб от одной такой атаки составляет порядка полумиллиона долларов.
Фото: Depositphotos