Как тебе такое, Carbanak?

В конце мая 2018 года хакеры скомпрометировали маршрутизатор в одном из подразделений ПИР Банка и получили доступ к его локальной сети. Злоумышленники добрались до АРМ КБР (автоматизированному рабочему месту клиента Банка России), сформировали платежные поручения и 3 июля отправили несколькими траншами деньги «в рейс». Всего, как сообщали источники "КоммерсантЪ", хакеры пытались украсть около 58 млн рублей. Переводы ушли на заранее подготовленные счета и пластиковые карты в 17 банках из топ-50, большую часть из них сразу же обналичили сообщники хакеров — money mule.

Эта история произвела эффект разорвавшейся бомбы. 6 июля СМИ написали, что произошло первое (!) успешное ограбление российского банка хакерами в 2018 году, а за этой кибератакой якобы стоит группа Anunak\Carbanak. На самом деле с начала 2018-го года это далеко не первая успешная атака на российский банк, завершившаяся выводом денег. Нам известно, как минимум о трех подобных инцидентах. А самое главное — и это показало расследование Group-IB — Anunak не имеет отношения к атаке на ПИР Банк. Это был ложный след.

6 июля ПИР Банк привлек к расследованию Group-IB и наши криминалисты исследовали зараженные рабочие станции, сервера финансовой организации и собрали неопровержимые цифровые доказательства причастности к краже хакеров из MoneyTaker. Были обнаружены инструменты, которые ранее уже использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также установлен сам метод проникновения в сеть.

Сейчас мы подробно расскажем, почему у нас нет сомнений, что атака на ПИР Банк - дело рук MoneyTaker, и чем они отличаются от хакеров из Anunak.

Новость Group-IB, выпущенная по итогам проведенного в ПИР Банке реагирования на инцидент (Incident Response), описывает часть инструментов хакерской группы MoneyTaker, использовавшихся для атаки на банк. Мы уверены, что хакеры делают все возможное, чтобы оставаться:

а) незамеченными, находясь уже в системе банка/компании;

б) не пойманными после того, как они провели атаку и/или вывели деньги.

Для этих целей они путают следы, «чистят» все улики, указывающие на них и, конечно, делают все, чтобы форензик-эксперты (киберкриминалисты, аналитики), а также реверс-инженеры не смогли корректно атрибутировать инцидент. Атрибуция – соотнесение инструментов, используемых в атаке, с конкретной группой, их тактики проведения атак – это высший пилотаж расследований, который усложняется фактически с каждой новой атакой.

Почему?

Все просто. Если ты передвигаешься по улицам Москвы на Сhevrolet Impala 67-ого года, тебя не сложно выделить в потоке. А вот если ты едешь на одном из тысяч такси – понять, что едешь в машине именно ты и определить в какой – гораздо сложнее.

Так и с атрибуцией хакеров: уникальный троян, написанный конкретной группой, сразу «выдаст» группу и позволит связать инциденты в цепочку. А если этот троян у группы А арендует группа Б, то связать инциденты с группой А будет уже неверно, ведь какой-то из них совершила группа Б.

Это приземленный пример, тем не менее дающий представление о том, что правильная атрибуция – это результат многолетнего опыта в области киберразведки (Threat Intelligence), киберкриминалистики, анализа вредоносного кода и других смежных областей. Именно поэтому мы придерживаемся принципов жесткой проверки по каждому эпизоду и его атрибуции с конкретной группой.

Ладно, оставим лирику, вернемся к фактам.

Тактические моменты – это важнейшая часть атрибуции. Мы фактически говорим о «почерке» группы. Характерными для Anunak являются: первоначальный вход в сеть через фишинг или эксплоит-кит, закрепление в системе, распространение в сети, доступ к администратору домена и контроллеру домена, доступ к почтовым серверам, доступ к банковским и платежным системам, видеосъемка (скринкаст) деятельности операторов цели, обеспечение персистентности в системе, в том числе с помощью изменений правил фаервола.

А вот как чаще всего действуют MoneyTaker: компрометация уязвимого роутера, создание туннелей на роутере (до ПИР Банка хакеры уже как минимум дважды использовали эту схему при атаках на банки, имеющих региональную филиальную сеть), достаточно длительное изучение сети, закрепление на скомпрометированных машинах, установка программы удаленного управления Dameware.

Для затруднения реагирования на инцидент и дальнейшего его расследования, атакующие уничтожали следы пребывания в системе, характерным для MoneyTaker способом: на многочисленных компьютерах происходила очистка системных журналов операционной системы, журналов прикладных систем и удаление системных файлов.

Кроме этого, в истории с ПИР Банком хакеры оставили на серверах ряд так называемых реверс-шеллов — программ, которые из сети банка подключались к серверам злоумышленников и ожидали новых команд для возможности проведения повторных атак и доступа в сеть. Все это было выявлено сотрудниками Group-IB и удалено администраторами банка.

Кроме того, при сравнении групп мы учитываем хронологию и географию атак.