Неизвестная ранее группировка русскоязычных хакеров похитила $10 миллионов из американских и российских банков за последние полтора года, свидетельствуют данные Group-IB, по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. Группа MoneyTaker взломала 20 систем, в том числе и 15 американских банков и российскую межбанковскую систему денежных переводов, говорится в докладе компании.Хакерская группировка MoneyTaker, являясь наименее изученной специалистами и практически не освещаемой в прессе, итого за 1,5 года провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании. Основными мишенями хакеров в банках являются системы карточного процессинга, а также система межбанковских переводов: российская АРМ КБР (автоматизированное рабочее место клиента Банка России) и предположительно американская система SWIFT. По данным системы Threat Intelligence Group-IB уже в ближайшее время целью MoneyTaker могут сделаться финансовые организации в Латинской Америке.MoneyTaker регулярно проводит целенаправленные атаки против банков, всегда меняя локации, но до публикации отчета Group-IB в открытых источниках не было никаких сведений, описывающих их всплеск. MoneyTaker также атакует адвокатские конторы и производителей финансового программного обеспечения. В целом, на счету MoneyTaker 16 атак на компании США, 3 – на банки России и 1 – в Великобритании. В США средний ущерб от одной атаки составляет 500 тысяч долларов США. В России средний объем извлеченных группой денежных средств в следствии компрометации АРМ КБР – 72 млн. рублей.Группа долгое время оставалась незамеченной используя пространный арсенал инструментов, позволяющих обходить антивирусные и антиспам системы, уничтожать любые следы атаки и значительно затруднять исследование инцидентов постфактум. «Организуя атаки MoneyTaker использует общедоступные инструменты, что делает процесс атрибуции инцидента нетривиальной задачей, – комментирует Дмитрий Волков, Глава департамента киберразведки Group-IB. – Кроме того, инциденты происходят в разных регионах мира: 1 из банков они ограбили дважды, что свидетельствует о недостаточно качественном расследовании первого нападения. Мы впервые раскрываем связи всех обнаруженных нами 20 инцидентов и не исключаем новые хищения. Для того, чтобы снизить их вероятность, мы выпустили открытый отчет, объясняющий, как работает эта группа и почему мы убеждены, что все описываемые нами эпизоды – дело рук MoneyTaker».
Первая нападение, с которой связана эта группа, была проведена весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. В августе 2016 года они успешно взломали 1 из банков в России, где использовали программу для автоматического перевода денег минуя систему межбанковских переводов Центрального банка России АРМ КБР.В целом, за 2016-й год Group-IB зафиксировала 10 атак, реализованных MoneyTaker: 6 на банки в США, 1 на американского провайдера ИТ-услуг, 1 на банк Англии и 2 – на российские банки. Лишь одна из них – в российском банке – была оперативно выявлена и предотвращена.С 2017 года география сужается до России и США, общее количество атак прежнее: на американские банки (8), адвокатскую контору (1), банки России (1). В результате расследования, проведенного с помощью системы Threat Intelligence, в Group-IB обнаружили связи между всеми 20 инцидентами. Речь идет не всего-навсего об используемых инструментах, но и сложно определяемом «почерке» группы, начиная от использования распределенной инфраструктуры, часть элементов которой является одноразовыми, и заканчивая схемой вывода денег: для каждой транзакции злоумышленники используют собственный счет. Еще одна характерная черта: совершив успешную атаку, хакеры не спешили покидать «место преступления», продолжая шпионить за сотрудниками банка после взлома корпоративной сети с помощью пересылки входящих писем на адреса Yandex и Mail.ru в формате [email protected].Важными «находками», позволившими обнаружить связи между преступлениями, стали программы для повышения привилегий, скомпилированные на основе кодов с российской конференции ZeroNights 2016. Также в отдельных инцидентах использовались известные банковские трояны Citadel и Kronos. Крайний применялся для установки POS-трояна ScanPOS.Специалисты обнаружили, что MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т.п. На данный момент, в Group-IB исследуют несколько эпизодов со скопированными документами о работе SWIFT. Их нрав и географическая принадлежность могут свидетельствовать о готовящихся атаках на объекты в Латинской Америке.На данный момент, информация о деятельности группы MoneyTaker направлена компанией Group-IB в Европол, Интерпол и МВД.Для проведения целенаправленных атак MoneyTaker используют распределенную инфраструктуру, которую сложно отследить. После успешного заражения одного из компьютеров и первичного закрепления в системе атакующим необходимо приступить исследование локальной сети, чтобы получить права администратора домена и в конечном итоге завладеть полный контроль над сетью.Стараясь как можно дольше оставаться в тени, хакеры используют «бестелесные» программы, которые работают всего в оперативной памяти и уничтожаются после перезагрузки. Для обеспечения персистентности (закрепления в системе) MoneyTaker делает ставку на скрипты – их тяжело обнаружить средствами антивирусной защиты и при этом легче модифицировать. В некоторых случаях они вносили изменения в код программы «на лету» – прямо во время проведения атаки.Кроме того, для защиты взаимодействия вредоносной программы и сервера управления используются не невзначай сгенерированные SSL-сертификаты, а специально созданные с использованием доверенных брендов (Bank of America, Federal Reserve Bank, Microsoft, Yahoo и др.).Первая нападение на карточный процессинг, которую специалисты Group-IB связали с хакерами MoneyTaker была проведена в мае 2016. Получив доступ в сеть банка, они скомпрометировали рабочее место операторов FirstData STAR network portal, внесли необходимые изменения и сняли деньги. В январе 2017 аналогичный инцидент произошел уже другом банке. Схема атаки проста. После получения контроля над банковской сетью, атакующие проверяли есть ли возможность подключаться к системе управления карточным процессингом. Затем они легально открывали или покупали на теневом рынке карты банка, в который они получили доступ. Дальше мулы (сообщники хакеров, роль которых – снимать деньги с карт) с открытыми ранее в этих банках картами уезжали в другую страну, где ждали сигнала о начале операции. Атакующие, используя доступ к карточному процессингу, убирали или увеличивали лимиты на снятие наличных для карт мулов, а также убирали овердрафт лимиты, что позволяло уходить в минус даже по дебетовым картам. После чего мулы, используя эти карты, снимали наличные в одном банкомате, потому переходили к другому и так дальше. Средний ущерб от одной такой атаки составлял 0.5 миллиона долларов.В Group-IB отмечают, что члены преступной группировки MoneyTaker используют как заимствованный софт, так и созданный ими. Так, для слежки за работой операторов банка с внутренними системами хакеры «написали» свое приложение, выполняющее функции скриншотера и кейлоггера.