11.12.2017
MoneyTaker: охота на невидимку
Group-IB рассекретила хакеров, атакующих банки в США и России
С мая 2016 года по ноябрь 2017 группой хакеров были атакованы два десятка банков и компаний в США, Великобритании и России. Один из американских банков ограбили дважды. Кроме денег, злоумышленники похищали документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак. Проведя анализ этих инцидентов, использованных инструментов и тактики хакеров, эксперты Group-IB пришли к выводу, что за этими атаками стоит одна и та же группа, которую мы назвали MoneyTaker — по названию инструмента, которым пользовались хакеры. Несмотря на высокую результативность атак, о них до сих пор ничего не писали в прессе. Cкачать полную версию отчета
Сисадмин одного из российских банков мог с домашнего компьютера заходить на сервера банка. Это стало точкой входа — через него хакеры проникли в системы банка и почти три недели свободно передвигались внутри, прикидывая, как украсть деньги. В банке стоял антивирус и он почти ежедневно "орал", фиксируя, как атакующие сканируют порты серверов и рабочих станций и используют различные хакерские инструменты. На "тревогу" никто не обращал внимания, пока в конце ноября этого года из банка не похитили несколько десятков миллионов через АРМ КБР (автоматизированное рабочее место клиента банка России). Хакеры сначала хотели вывести деньги через банкоматы, но они не работали. Чисто российская история: у их владельца, партнера обворованного банка, незадолго до этих событий отозвали лицензию.
Группа, жертвой которой стал российский банк, называется MoneyTaker. Последние полтора года она регулярно проводит целенаправленные атаки против банков, постоянно меняя локации. Однако до публикации отчета Group-IB в открытых источниках на удивление не было никаких сведений, описывающих их активность. Группа долгое время оставалась незамеченной, используя обширный арсенал инструментов, позволяющих обходить антивирусные и антиспам системы, уничтожать любые следы атаки и значительно затруднять исследование инцидентов постфактум.
Группа, жертвой которой стал российский банк, называется MoneyTaker. Последние полтора года она регулярно проводит целенаправленные атаки против банков, постоянно меняя локации. Однако до публикации отчета Group-IB в открытых источниках на удивление не было никаких сведений, описывающих их активность. Группа долгое время оставалась незамеченной, используя обширный арсенал инструментов, позволяющих обходить антивирусные и антиспам системы, уничтожать любые следы атаки и значительно затруднять исследование инцидентов постфактум.
MoneyTaker — преступная группа, специализирующаяся на целевых атаках на финансовые организации . Основной целью хакеров являются карточный процессинг и системы межбанковских переводов. На счету MoneyTaker 16 атак в США, 3 – на банки России и 1 – в Великобритании. В США средний ущерб от одной атаки составляет $500 000. В России средний объем выведенных средств – 72 млн. рублей. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак.
Первая атака этой группы произошла весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. После этого хакеры почти на 4 месяца «залегли на дно» и лишь в сентябре 2016 года атаковали банки в России. На этот раз их целью стала АРМ КБР — российская система межбанковских переводов.
В целом, за 2016-й год Group-IB зафиксировала 10 атак MoneyTaker: 6 на банки в США, 1 на американского провайдера ИТ-услуг, 1 на банк Англии и 2 – на российские банки. Лишь одна из них – в российском банке – была оперативно выявлена и предотвращена.
С 2017 года география сужается до России и США, общее количество атак прежнее: на американские банки (8), адвокатскую контору (1), банки России (1). В результате расследования, проведенного с помощью системы Threat Intelligence, в Group-IB обнаружили связи между всеми 20 инцидентами.
В целом, за 2016-й год Group-IB зафиксировала 10 атак MoneyTaker: 6 на банки в США, 1 на американского провайдера ИТ-услуг, 1 на банк Англии и 2 – на российские банки. Лишь одна из них – в российском банке – была оперативно выявлена и предотвращена.
С 2017 года география сужается до России и США, общее количество атак прежнее: на американские банки (8), адвокатскую контору (1), банки России (1). В результате расследования, проведенного с помощью системы Threat Intelligence, в Group-IB обнаружили связи между всеми 20 инцидентами.
Знакомый почерк
Речь идет не только об используемых инструментах, но и сложно определяемом «почерке» группы, начиная от использования распределенной инфраструктуры, часть элементов которой является одноразовыми, и заканчивая схемой вывода денег: для каждой транзакции злоумышленники используют свой счет. Еще одна характерная черта: совершив успешную атаку, хакеры не спешили покидать «место преступления», продолжая шпионить за сотрудниками банка после взлома корпоративной сети с помощью пересылки входящих писем на адреса Yandex и Mail.ru в формате first.last@yandex.com.
Важными «находками», позволившими обнаружить связи между преступлениями, стали программы для повышения привилегий, скомпилированные на основе кодов с российской конференции ZeroNights 2016. Также в отдельных инцидентах использовались известные банковские трояны Citadel и Kronos. Последний применялся для установки POS-трояна ScanPOS.
Важными «находками», позволившими обнаружить связи между преступлениями, стали программы для повышения привилегий, скомпилированные на основе кодов с российской конференции ZeroNights 2016. Также в отдельных инцидентах использовались известные банковские трояны Citadel и Kronos. Последний применялся для установки POS-трояна ScanPOS.
Взаимосвязь между инцидентами
Исследуя инфраструктуру атакующих, специалисты Group-IB обнаружили, что MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т.п. На данный момент, в Group-IB исследуют несколько эпизодов со скопированными документами о работе SWIFT. Их характер и географическая принадлежность могут свидетельствовать о готовящихся атаках на объекты в Латинской Америке.
На данный момент, информация о деятельности группы MoneyTaker направлена компанией Group-IB в Европол и Интерпол.
На данный момент, информация о деятельности группы MoneyTaker направлена компанией Group-IB в Европол и Интерпол.
Не оставляя следов
Для своих целенаправленных атак MoneyTaker используют распределенную инфраструктуру, которую сложно отследить. Уникальной особенностью группы является применение Persistence сервера, который «отдает» полезную нагрузку только для реальных жертв, чьи IP-адреса добавлены в белый список.
Для управления и координации действий MoneyTaker использует сервер (Pentest framework Server): на него устанавливаются легитимные инструменты для проведения тестов на проникновение Metasploit, он же «управляет» всей атакой. Именно Metasploit используется для проведения сетевой разведки, поиска уязвимых приложений, эксплуатации уязвимостей, повышения прав в системах, сбора информации и др. После успешного заражения одного из компьютеров и первичного закрепления в системе атакующим необходимо начать исследование локальной сети, чтобы получить права администратора домена и в конечном итоге захватить полный контроль над сетью.
Стараясь как можно дольше оставаться в тени, хакеры используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Для обеспечения персистентности (закрепления в системе) MoneyTaker делает ставку на скрипты – их тяжело обнаружить средствами антивирусной защиты и при этом легче модифицировать. В некоторых случаях они вносили изменения в код программы «на лету» – прямо во время проведения атаки.
Кроме того, для защиты взаимодействия вредоносной программы и сервера управления используются не случайно сгенерированные SSL-сертификаты, а специально созданные с использованием доверенных брендов (Bank of America, Federal Reserve Bank, Microsoft, Yahoo и др.).
Для управления и координации действий MoneyTaker использует сервер (Pentest framework Server): на него устанавливаются легитимные инструменты для проведения тестов на проникновение Metasploit, он же «управляет» всей атакой. Именно Metasploit используется для проведения сетевой разведки, поиска уязвимых приложений, эксплуатации уязвимостей, повышения прав в системах, сбора информации и др. После успешного заражения одного из компьютеров и первичного закрепления в системе атакующим необходимо начать исследование локальной сети, чтобы получить права администратора домена и в конечном итоге захватить полный контроль над сетью.
Стараясь как можно дольше оставаться в тени, хакеры используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Для обеспечения персистентности (закрепления в системе) MoneyTaker делает ставку на скрипты – их тяжело обнаружить средствами антивирусной защиты и при этом легче модифицировать. В некоторых случаях они вносили изменения в код программы «на лету» – прямо во время проведения атаки.
Кроме того, для защиты взаимодействия вредоносной программы и сервера управления используются не случайно сгенерированные SSL-сертификаты, а специально созданные с использованием доверенных брендов (Bank of America, Federal Reserve Bank, Microsoft, Yahoo и др.).
Организуя атаки, MoneyTaker использует общедоступные инструменты, что делает процесс атрибуции инцидента нетривиальной задачей. Кроме того, инциденты происходят в разных регионах мира: один из банков они ограбили дважды, что свидетельствует о недостаточно качественном расследовании первого нападения. Мы впервые раскрываем связи всех обнаруженных нами 20 инцидентов и не исключаем новые хищения. Для того, чтобы снизить их вероятность, мы выпустили открытый отчет, объясняющий, как работает эта группа и почему мы убеждены, что все описываемые нами эпизоды – дело рук MoneyTaker.
Дмитрий Волков
Руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB
Атаки на карточный процессинг
Первая атака на карточный процессинг, которую специалисты Group-IB связали с хакерами MoneyTaker была проведена в мае 2016. Получив доступ в сеть банка, они скомпрометировали рабочее место операторов FirstData STAR network portal, внесли необходимые изменения и сняли деньги. В январе 2017 аналогичный инцидент произошел уже другом банке.
Схема атаки проста. После получения контроля над банковской сетью, атакующие проверяли есть ли возможность подключаться к системе управления карточным процессингом. Затем они легально открывали или покупали на теневом рынке карты банка, в который они получили доступ. Дальше мулы (сообщники хакеров, роль которых – снимать деньги с карт) с открытыми ранее в этих банках картами уезжали в другую страну, где ждали сигнала о начале операции. Атакующие, используя доступ к карточному процессингу, убирали или увеличивали лимиты на снятие наличных для карт мулов, а также убирали овердрафт лимиты, что позволяло уходить в минус даже по дебетовым картам. После чего мулы, используя эти карты, снимали наличные в одном банкомате, потому переходили к другому и так далее. Средний ущерб от одной такой атаки составлял 0.5 миллиона долларов.
Схема атаки проста. После получения контроля над банковской сетью, атакующие проверяли есть ли возможность подключаться к системе управления карточным процессингом. Затем они легально открывали или покупали на теневом рынке карты банка, в который они получили доступ. Дальше мулы (сообщники хакеров, роль которых – снимать деньги с карт) с открытыми ранее в этих банках картами уезжали в другую страну, где ждали сигнала о начале операции. Атакующие, используя доступ к карточному процессингу, убирали или увеличивали лимиты на снятие наличных для карт мулов, а также убирали овердрафт лимиты, что позволяло уходить в минус даже по дебетовым картам. После чего мулы, используя эти карты, снимали наличные в одном банкомате, потому переходили к другому и так далее. Средний ущерб от одной такой атаки составлял 0.5 миллиона долларов.
MoneyTaker: арсенал для нападений
Члены преступной группировки MoneyTaker используют как заимствованный софт, так и созданный ими. Например, для слежки за работой операторов банка с внутренними системами хакеры «написали» свое приложение, выполняющее функции скриншотера и кейлоггера.
Оно предназначено для считывания вводимых пользователем клавиш, снятия скриншотов рабочего стола и перехвата содержимого буфера обмена. Приложение скомпиллировано на языке Delfi и содержит 5 таймеров: те или иные функции приложения (активирует функции перехвата, делает скриншоты, отгружает данные, отключает себя и др.) выполняются при очередном срабатывании таймера. И здесь хакеры применили «меры безопасности»: в код таймера внедрена функция антиэмуляции для обхода антивирусов и средств автоматического анализа семплов.
Оно предназначено для считывания вводимых пользователем клавиш, снятия скриншотов рабочего стола и перехвата содержимого буфера обмена. Приложение скомпиллировано на языке Delfi и содержит 5 таймеров: те или иные функции приложения (активирует функции перехвата, делает скриншоты, отгружает данные, отключает себя и др.) выполняются при очередном срабатывании таймера. И здесь хакеры применили «меры безопасности»: в код таймера внедрена функция антиэмуляции для обхода антивирусов и средств автоматического анализа семплов.
В атаке на АРМ КБР в одном из российских банков «участвовала» разработанная группой одноименная система Moneytaker v5.0. Это модульная программа, каждый компонент которой выполняет определенные действия: «ищет» платежные поручения и модифицирует их, заменяя имеющиеся реквизиты на реквизиты злоумышленников, а затем «заметает следы». В момент внесения в платежное поручение изменений оно еще не подписано: на подпись отправляется измененная «платежка» с реквизитами мошенников. Помимо уничтожения следов, модуль сокрытия меняет реквизиты злоумышленников в подтверждении дебета после списания обратно на подлинные. Таким образом платежное поручение отправляется и принимается к исполнению с реквизитами злоумышленника, а ответы в банк приходят словно реквизиты были исходными. Это дает злоумышленникам дополнительное время до обнаружения хищений.
Разоблачение MoneyTaker
Эксперты Group-IB о ранее неизвестных атаках на банки и производителей ПО
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
