Войти  |  Регистрация
Авторизация

MoneyTaker



MoneyTaker — русскоязычная хакерская группа, атакующая банки и юридические организации. Действует с мая 2016. На 2021 год идентифицировать членов хакерской группы не удалось.

За этот период группировка совершила по меньшей мере 22 идентифицированных атаки на различные компании. Шестнадцать из них пришлись на банки США, 5 — на российские компании, одна — на компанию в Великобритании.

Идентифицированные атаки

Согласно первому аналитическому отчёту, посвященному MoneyTaker как минимум 16 из идентифицированных атак группы пришлись на организации в США. Средний ущерб от одной атаки составил $500 тысяч. Преступники похитили документацию к системе FedLink компании OceanSystems: этой платформой пользовались 200 банков в Латинской Америке и США.

В России за все время хакеры совершили пять атак на банки и одну на юридическую фирму. Основной целью атак группы в России была система межбанковских переводов АРМ КБР. Средний размер ущерба от одного инцидента составил $1,2 млн, однако часть денег пострадавшим банкам удалось вернуть. Общая сумма финансовых потерь превысила $3 млн.

В Великобритании атаку совершили на поставщика программного обеспечения и услуг.

История

В мае 2016 года произошла первая зафиксированная атака группировки: из банка США во Флориде похитили деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData.

В августе 2016 года хакеры успешно взломали один из российских банков, который использовал систему межбанковских переводов АРМ КБР. После получения доступа в систему хакеры загрузили собственную программу MoneyTaker v5.0, которая осуществляла инициализацию, проверяя наличие модулей, указанных в конфигурационном файле, и бэкапы определенных каталогов АРМ КБР.

В октябре 2017 года зафиксировали целевую атаку на финансовые организации России, Армении и Малайзии. Однако здесь мнения исследователей разошлись: часть из них приписывает ее группе Silence, другая — MoneyTaker. Первая волна атаки началась в июле. Злоумышленники рассылали фишинговые письма с вредоносными вложениями, при этом могли использовать для этого инфраструктуру уже зараженных учреждений и отправлять сообщения от имени настоящих сотрудников.

В ноябре 2017 хакеры получили доступ к серверам и рабочим местам операторов АРМ КБР в одном из банков России, но воспользоваться вредоносным ПО MoneyTaker v5.0 они не смогли из-за того, что сервер находился в полностью изолированном сегменте. После неудачной попытки похитить деньги через систему межбанковских переводов они переключили свой фокус на систему карточного процессинга. В 2018 году удалось обнаружить начальную точку проникновения. Доступ в корпоративную сеть хакеры получили в 2016 году, атаковав личный (домашний) компьютер администратора этой финансовой организации. При этом после атаки они использовали программу, которая удаляла все компоненты использованных ими программ, однако допустили ошибку в коде, из-за чего данные остались на атакованном компьютере.

В декабре 2017 года группа была идентифицирована, ее назвали MoneyTaker, по заглавию основной используемой хакерами программы. Специалисты выпустили технический отчет с описанием тактики хакеров и используемых инструментов..

В июле 2018 года злоумышленники совершили атаку на ПИР-банк в России. Из банка было украдено минимум $920 000. Глава Сбербанка Герман Греф заявлял, что атаку на ПИР Банк совершила группа Carbanak. Однако компания, проводившая расследование инцидента, заявила, что эта информация не подтвердилась и за атакой стоят MoneyTaker. Хакеры скомпрометировали сеть банка через устаревший маршрутизатор в региональном филиале, доступ к нему был получен в мае. Действия преступников в локальной сети банка оставались незамеченными до тех пор, пока они не добрались до АРМ КБР (автоматизированному рабочему месту клиента Банка России), необходимого для вывода денег. Средства выводились на 17 заранее созданных счетов. Большая часть денежных средств обналичена уже в ночь хищения. Сотрудники ПИР-банка обнаружили взлом днем позже. Злоумышленники попытались «закрепиться» в сети банка для подготовки последующих атак, однако вовремя были обнаружены. По некоторым данным банку удалось вернуть часть денег. По другим данным было уже слишком поздно отменять транзакции.

В октябре этого же года группировка совершила фишинговую рассылку писем, стилизованных под официальные документы ЦБ РФ.

На 2021 год идентифицировать членов хакерской группы не удалось.

Инструменты и тактика

Для проникновения в корпоративную сеть группа использовала легитимный фреймворк Metasploit и PowerShell Empire.

Хакеры разворачивали новую инфраструктуру для каждой кампании, а после успешной компрометации тщательно уничтожали следы того, как именно они получили доступ в сеть. Уникальной особенностью инфраструктур было использование Persistence сервера, который отдает полезную нагрузку только для реальных жертв, чьи IP-адреса добавлены в белый список.

Главный инструмент группы — легитимный фреймворк для проведения тестов на проникновение Metasploit. С его помощью преступники осуществляли сетевую разведку и искали уязвимости, эксплуатировали их, повышали права в системе, собирали информацию и пр. С сервера, на котором устанавливался Metasploit, велось управление всей атакой. Когда полезная нагрузка (Meterpreter) запускалась на скомпрометированном хосте, она инициировала исходящие соединение по SSL, что позволяло избегать обнаружения системами сетевой безопасности. По умолчанию Metasploit генерирует самоподписанные SSL сертификаты и указывает случайные значения в полях: Valid from, Valid till, Common name, что может вызвать подозрения. Поэтому группа MoneyTaker перед проведением атаки также генерировала самоподписанные SSL сертификаты, но поля заполняла не случайным образом, а указывала названия узнаваемых брендов, что снижало вероятность обнаружения.

Для первичной компрометации использовались одноразовые сервера, которые менялись после успешного проникновения. Такие сервера отдавали вредоносную «полезную нагрузку» только для установленного списка IP-адресов, принадлежащих атакованной компании. Так преступники предотвращали попадание «полезной нагрузки» к внешним аналитикам и экспертам.

Для распространения по сети хакеры использовали легитимные инструменты PowerShell, а также банковские трояны Citadel и Kronos. Злоумышленники использовали два метода распространения полезной нагрузки — публикацию в сетевой папке исполняемых файлов и их принудительный запуск на компьютере жертвы, либо указание напрямую в строке запуска службы шелл-кода.

Для перехвата межбанковских операций группировка использовала самописную программу MoneyTaker v5.0.

Для паролей, которые были получены в виде хеша NTLM и не были расшифрованы, использовался механизм Pass-the-hash, который позволяет применять хеш NTLM для аутентификации без знания пароля. Для этого использовались все те же штатные модули psexec в Metasploit без какой-либо модификации. После получения доступа к новым системам процесс сбора парольной информации повторялся.

Группа использовала «бестелесные» программы, которые работали только в оперативной памяти и уничтожались после перезагрузки. Для закрепления в системе атакующие использовали скрипты на PowerShell, VBS. Особенностью группы MoneyTaker являлось использование для этих операций отдельного сервера.

Для запуска «полезной нагрузки» использовали Dropper. Эта программа дешифрует буфер данных, хранящийся в инсталляторе в зашифрованном виде, и внедряет его в дочерний процесс (запущенный последним).

После успешной атаки группировка не спешила покидать «место преступления», а продолжали шпионить за сотрудниками банка после взлома корпоративной сети, чтобы также похитить внутреннюю документацию по работе с банковскими системами (руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т. п.).

Для отслеживания работы реальных операторов систем использовались легитимный инструмент NirCmd (позволяет удаленно записывать и удалять значения и ключи в реестре, записывать значения в файл INI, подключаться к сети VPN, перезапускать или выключать компьютер, изменить созданную / измененную дату файла, изменить настройки дисплея, выключать монитор и многое другое) и самописный скриншотер и кейлоггер.

Группировка арендовала серверы на территории России и пользовалась почтами «Яндекса» и Mail.Ru.


Добавить комментарий
Ваше Имя:
Ваш E-Mail:
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent