© ComNews
12.12.2017

Компания по предотвращению и расследованию киберпреступлений Group-IB впервые раскрыла связи всех 20 инцидентов деятельности русскоязычной хакерской группировки MoneyTaker. В Group-IB рассказали, что MoneyTaker регулярно проводит целенаправленные атаки против банков. В частности, основными мишенями хакеров являются системы карточного процессинга, а также система межбанковских переводов. Эксперты отмечают, что группировок и инцидентов стало больше, но хакеры ушли за пределы России - они переключились на иностранные финансовые организации и их клиентов.

Как отметили в Group-IB, первую хакерскую атаку группировка совершила весной 2016 г. Тогда из банка США мошенники похитили деньги при получении доступа к системе карточного процессинга STAR компании FirstData. Получив доступ в сеть банка, они скомпрометировали рабочее место операторов FirstData STAR network portal, внесли необходимые изменения и сняли деньги. В августе 2016 г. мошенники взломали один из банков в России, где использовали программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР (Автоматизированное рабочее место клиента Банка России).

По словам специалистов Group-IB, MoneyTaker регулярно проводит целенаправленные атаки против банков, постоянно меняя локации. Кроме того, группировка атакует адвокатские конторы и производителей финансового программного обеспечения (ПО). В целом за 2016 г. компания зафиксировала 10 атак MoneyTaker: шесть на банки в США, одну на американского провайдера ИТ-услуг, одну на банк Англии и две на российские банки. Лишь одна из них - в российском банке - была оперативно выявлена и предотвращена. В компании уточнили, что за полтора года эта группа провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании.

"С 2017 г. география сужается до России и США, общее количество атак прежнее: на американские банки - восемь атак, адвокатскую контору - одна, банки России - одна. В результате расследования, проведенного с помощью системы Threat Intelligence, в Group-IB обнаружили связи между всеми 20 инцидентами", - отметили эксперты компании. В настоящее время компания направила информацию о деятельности группы MoneyTaker в Европол и Интерпол.

"Организуя атаки, MoneyTaker использует общедоступные инструменты, что делает процесс атрибуции инцидента нетривиальной задачей, - прокомментировал руководитель департамента киберразведки Group-IB Дмитрий Волков. - Кроме того, инциденты происходят в разных регионах мира. Один из банков они ограбили дважды, что свидетельствует о недостаточно качественном расследовании первого нападения". Эксперты Group-IB отметили, что в США средний ущерб от одной атаки составляет $500 тыс. В России средний объем извлеченных группой денежных средств вследствие компрометации АРМ КБР - 72 млн руб.

Исследуя инфраструктуру атакующих, специалисты Group-IB обнаружили, что мошенники MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах - руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т.п.  На данный момент в Group-IB исследуют несколько эпизодов со скопированными документами о работе SWIFT. Их характер и географическая принадлежность могут свидетельствовать о готовящихся атаках на объекты в Латинской Америке.

Специалисты компании пояснили, что для проведения целенаправленных атак MoneyTaker использует распределенную инфраструктуру, которую сложно отследить. Уникальной особенностью группы является применение Persistence-сервера, который "отдает" полезную нагрузку только для реальных жертв, чьи IP-адреса добавлены в белый список. Стараясь как можно дольше оставаться в тени, хакеры используют "бестелесные" программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, для защиты взаимодействия вредоносной программы и сервера управления мошенники используют не случайно сгенерированные SSL-сертификаты, а специально созданные с применением доверенных брендов (Bank of America, Federal Reserve Bank, Microsoft, Yahoo и др.).

Помимо этого, в Group-IB отметили, что члены преступной группировки MoneyTaker используют как заимствованный софт, так и созданный мошенниками. Еще одна характерная черта: совершив успешную атаку, хакеры не спешат покидать место преступления, а продолжают шпионить за сотрудниками банка после взлома корпоративной сети с помощью пересылки входящих писем на адреса Yandex и Mail.ru в формате first.last@yandex.com.

В Group-IB рассказали, что важными "находками", позволившими обнаружить связи между преступлениями, стали программы для повышения привилегий, скомпилированные на основе кодов с российской конференции ZeroNights 2016. Кроме того, в отдельных инцидентах компания использовала банковские трояны Citadel и Kronos. Последний применялся для установки POS-трояна ScanPOS.

Руководитель поддержки продаж Eset Russia Виталий Земских рассказал, как банки могут противостоять хакерским группировкам. "Банки должны обеспечить надежную защиту периметра, которая позволяет минимизировать риски компрометации ИТ-сети банка. Это внедрение современных ИБ-продуктов, привлечение на аудит стороннего подрядчика", - отметили в Eset. Второй рубеж – безопасность изолированной сети банкоматов с использованием физических и программных средств защиты. Кроме того, снизить риски атак позволит доступ ИТ и ИБ-специалистов банков к телеметрическим сервисам типа Threat Intelligence с данными о целевых атаках, консалтинговые и сервисные услуги в области киберзащиты (социотехнические тесты, веб-аудит, пентесты и пр.), обучение сотрудников. 

Дмитрий Волков прогнозирует, что количество группировок и киберпреступлений в ближайшие несколько лет будет расти. "Вся организованная преступность, традиционный криминалитет уходят в Интернет. Сегодня стать жертвой злоумышленников гораздо больше шансов, чем нарваться на уличного грабителя. По нашим оценкам, 98% преступников мотивированы получением финансовой выгоды", - сказал он.

"Банкам несвойственно недооценивать соперника. Они представляют уровень подготовленности хакеров и инвестируют в продукты и сервисы для безопасности. Как следствие, атаки на банки требуют от хакеров все более высокой квалификации. Могу предположить, что количество кибергрупп, которые специализируются на финансовом секторе, вряд ли вырастет экспоненциально", - считает Виталий Земских. С другой стороны, считают в Eset, число атак на банки будет расти до тех пор, пока они финансово выгодны. Как минимум, пока затраты на операцию не превысят возможную прибыль, либо до стопроцентной раскрываемости инцидентов. 

Первые масштабные целевые атаки на российские банки специалисты Group-IB зафиксировали в 2013 г. Если в 2014 г. было известно о двух хакерских группах, Anunak и Corkow, проводивших целевые атаки, то в 2015 г. их было три (Anunak, Corkow, Andromeda), а в 2016 г. - четыре (Buhtrap, Lurk, Cobalt, MoneyTaker). "Логика преступников понятна: больше денег, меньше рисков. Сейчас, в 2017 г., активны  Cobalt, MoneyTaker, Anunak и еще две группы, которые мы изучаем. Со второго полугодия 2016 г. количество целенаправленных атак на банки в России упало на 33%. Групп и инцидентов стало больше, но хакеры ушли за пределы России - они переключились на иностранные финансовые организации и их клиентов", - резюмировал Дмитрий Волков.

Банкам несвойственно недооценивать соперника. Они представляют уровень подготовленности хакеров (оценили, в том числе, на собственном опыте) и инвестируют в продукты и сервисы для безопасности.

 

Как следствие, атаки на банки требуют от хакеров все более высокой квалификации. Могу предположить, что количество кибергрупп, которые специализируются на финансовом секторе, вряд ли вырастет экспоненциально.

 

С другой стороны, число атак на банки будет расти до тех пор, пока они финансово выгодны. Как минимум, пока затраты на операцию не превысят возможную прибыль, либо до стопроцентной раскрываемости инцидентов.