Компания Group-IB подготовила ряд отчетов Hi-Tech Crime Trends, в которых анализирует угрозы уходящего 2021 года и делает прогнозы на год грядущий. Одним из интересных наблюдений экспертов стал тот факт, что в начале 2021 года хак-группа MoneyTaker, похоже, совершила хищение в одном из российских банков, совершив атаку на автоматизированное рабочее место клиента Банка России (АРМ КБР).
Напомню, что о MoneyTaker стало широко известно еще в 2017 году, и уже тогда сообщалось, что за полтора года своего существования группировка провела около 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании. Основными мишенями хакеров тогда были системы карточного процессинга, а также российская система межбанковских АРМ КБР и, предположительно, американская система SWIFT.
Уже на тот момент на счету MoneyTaker шестнадцать атак на компании США, три атаки на российские банки, и еще одна атака была зафиксирована в Великобритании. В США средний ущерб от одной атаки составляет 500 000 долларов США. В России средний объем извлеченных группой денежных средств (вследствие компрометации АРМ КБР) равнялся 72 000 000 рублей.
Позже, в июле 2018 года Group-IB сообщала, что группа также стоит за атакой на «ПИР Банк» — деньги были выведены через АРМ КБР веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50, большая часть была обналичена уже в ночь хищения.
Как теперь пишет Group-IB в свежем отчете, посвященном угрозам для финансовых организаций, после долгого затишья MoneyTaker снова успешно атаковала российский банк. Хуже того, исследователи считают, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР.
Отчет гласит, что в феврале 2021 специалисты Group-IB были привлечены к реагированию на инцидент в неназванном российском банке, в ходе которого атакующие смогли получить доступ к системе межбанковских переводов АРМ КБР. И
Изучив тактики, техники и процедуры преступников, эксперты предположили, что за атакой может стоять группа MoneyTaker. Так, выяснилось, что атака началась в июне 2020 и была осуществлена через компрометацию аффилированной с банком компании. Предположительно, все началось с физического устройства, установленного в аффилированной сети. Найти компьютер, с которого началась атака, не удалось, но были обнаружены признаки эксплуатации старой уязвимости Fortigate OS fortiOS 5.6.4 (CVE-2018-13379).
В итоге в течение месяца атакующие получили доступ к сети банка, которую затем изучали полгода. Известно, что во время атаки злоумышленники использовали Mimikatz, встроенные утилиты Windows (WinRM и WMI), RStudio, ПО для удаленного доступа DameWare, фреймворк Metasploit, утилиты nbtstat, netstat, tasklist, PsExec и так далее.
В январе 2021 атакующие приступили к финальной фазе своей операции. Они зарегистрировали доменные имена, схожие с названием банка: оригинальный домен оканчивался на .ru, а поддельные размещались в зонах .org и .com. В феврале 2021 атакующие похитили цифровые ключи и позже использовали их для подписания платежей, проходящих через транспортный шлюз Банка России. После этого они вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР. В конце атакующие применили MBR killer на атакованной машине, и большинство логов было стерто. После завершения операции злоумышленники удалили конфигурацию межсетевого экрана Fortigate, отвечающего за изоляцию сегмента АРМ КБР.
Название банка и сумму похищенных средств специалисты Group-IB не раскрывают. По словам источника РБК, близкого к ЦБ, хакеры смогли похитить более полумиллиарда рублей. Другой источник, связанный с кибербезопасностью, отметил, что от атаки MoneyTaker пострадал действующий «не очень крупный банк».
В беседе с РБК CEO Group-IB Дмитрий Волков заявил, что риск повторения таких атак существует, но не так высок, как в 2017–2018 годах, когда целевые атаки на банки проводились ежемесячно. По его словам, этому способствовала большая работа в сфере кибербезопасности самих банков, регулятора и правоохранительных органов, в результате которой проводить такие атаки для злоумышленников стало невыгодно и рискованно.