Grupa MoneyTaker ukrala od prošle godine milione dolara od američkih i ruskih banaka

Vesti, 13.12.2017, 10:30 AM

Grupa sajber kriminalaca za koju se veruje da deluje sa teritorija ruskog govornog područja hakovala je najmanje 20 banaka i kompanija od kojih je ukrala milione američkih dolara, objavila je ruska firma Group-IB koja se bavi sajber bezbednošću.

Istraživači iz ove firme kažu da se ova grupa razlikuje od drugih naprednih kriminalnih organizacija koje su u prošlosti napadale finansijski sektor, kao što su Carbanak, Cobalt i Lazarus grupa. Oni su ovu grupu nazvali MoneyTaker po hakerskim alatima koje grupa koristi od 2016. godine kada je počela sa radom.

Te godine, maja meseca, grupa je napala svoj prvi cilj, banku na Floridi. Od tada, MoneyTaker je napala 14 američkih banaka, jednu američku kompaniju, jednu britansku kompaniju, 3 ruske banke i jednu rusku advokatsku firmu.

Napadi na banke bile su fokusirani na infiltraciju u transfere novca između banaka i u sisteme za obradu platnih kartica, kao što su First Data STAR Network i AWS CBR sistem Ruske centralne banke. Napadači bi se infiltrirali u jedan računar, a zatim se širili bočno, prikupljajući sve fajlove i lozinke koje su mogli da nađu, u nadi da će kompromitovati računar sa pristupom STAR ili CBR mrežama.

Dokazi koje je prikupila firma Group-IB sugerišu da su napadači ciljno pretraživali i krali internu dokumentaciju kako bi se informisali o načinu rada banaka i pripremili za buduće napade. U nekim slučajevima, napadači su ukrali i dokumente o SWIFT-u, drugom sistemu medjubankarskog transfera novca i fajlove o FedLinku OceanSystemsa, sistemu za obradu kartica koji je široko primenjen u Latinskoj Americi.

Kada je reč o hakerskom delu napada grupe MoneyTaker, istraživači kažu da je bilo veoma teško istraživati aktivnosti hakera. Napadači su koristili obične i legitimne aplikacije za obavljanje svog posla i široki arsenal malvera. Svaki napad je bio drugačiji, što pokazuje da je grupa detaljno proučavala svaki cilj i primenjivala određene alate odgovarajuće za te ciljeve.

Napadači nikada nisu bili usredsređeni na samo jedan bankarski sistem već su krali novac iz sistema za obradu kartica, iz ATM mreža, pa čak i instalirali POS (Point-of-Sale) trojance. Grupa je koristila malver MoneyTaker za napade na banke, ScanPOS malver za POS sisteme, prilagođene alate za snimanje ekrana i kucanja po tastaterima i Citadel i Kronos bankarske trojance za bočno kretanje unutar mreža. Pored toga, grupa je koristila i SSL sertifikate generisane u ime velikih brendova za potpisivanje svojih malvera, jednokratne Yandex i Mail.ru email naloge, i mule za podizanje ukradenog novca.

Napadači su se trudili da obrišu svoje ulazne tačke, pa Group-IB nije bila u mogućnosti da pronađe inicijalni vektor infekcije. MoneyTaker je koristila jedinstvenu komandno-kontrolnu infrastrukturu koja nije postavljala nikakav maliciozni softver osim ako zahtev za preuzimanje nije dolazio iz opsega IP adresa ciljane banke.

Istraživači iz Group-IB rekli su da su sve podatke koje su prikupili o ovoj grupi prosledili Europolu i Interpolu, jer oni veruju da to neće biti poslednji put da čujemo o delovanju grupe MoneyTaker.