Большая разница: Cobalt vs MoneyTaker

Осенью 2017 года эксперты Group-IB первыми рассказали о деятельности преступной группы MoneyTaker, которая долгое время оставалась незамеченной, при этом всего за полтора года атаковала 20 банков и организаций по всему миру. Мы рассказали об атаках и индикаторах ее «работы», для того чтобы предупредить рынок об этой угрозе. Однако до сих пор слышим мнения, что все эти атаки — дело рук Cobalt.

Криминалисты Group-IB первыми выезжали к потерпевшим от Cobalt и MoneyTaker банкам. На протяжении ряда лет мы детально анализировали инструменты, цели, тактику обеих хакерских группировок, поэтому легко можем провести водораздел между ними и поставить точку в этих спорах.

Итак, хакеры из MoneyTaker всегда стараются оставаться незамеченными, используют «одноразовую» инфраструктуру, «бестелесные» программы и тщательно заметают следы своего присутствия. Для того чтобы соединения с сервером управления не вызывали подозрений у служб безопасности банков, злоумышленники используют SSL-сертификаты (своего рода уникальная цифровая подпись сайта) с именами известных международных брендов, в том числе банковских: Bank of America, Federal Reserve Bank, Microsoft, Yahoo). Один раз им даже удалось дважды атаковать один американский банк.

Группа Cobalt работает грубее, оставляет за собой много цифровых следов: она никогда не создавала сертификаты для своих серверов управления или рассылок, они делают ставку на массовые атаки. Эти злоумышленники работают в промышленных масштабах, атакуя большое количество банков сразу, практически не подстраиваясь под конкретную жертву. Совсем другое дело хакеры из MoneyTaker, они работают индивидуально с каждым «клиентом» и вносят изменения в код программы «на лету» — прямо во время проведения атаки.

MoneyTaker и Cobalt отличает уникальный набор инструментов, а также стиль фишинговых рассылок, с помощью которых происходит первоначальное заражение. В то время, пока группа Cobalt проводила атаки в Восточной Европе и СНГ, не используя никаких самописных программ (кроме ATMSpitter и упаковщиков), хакеры из MoneyTaker вносили изменения в код программы «на лету» — прямо во время проведения атаки. Одна из таких «самописных» программ — MoneyTaker 5.0 предназначена для автозамены платежных реквизитов в АРМ КБР (Автоматизированное рабочее место клиента банка России).

Кроме того, группировки используют разные пути вывода средств из банка. Восстанавливая картину преступлений, наша команда криминалистов отмечала, что группа Cobalt избегает компьютеров с АРМ КБР и предпочитает проводить атаки на банкоматы, платежные шлюзы, карточный процессинг и SWIFT. А вот MoneyTaker выводила деньги из российских банков, используя именно АРМ КБР. Логично предположить, что, имея в арсенале программу для совершения хищений через АРМ КБР, хакеры из Cobalt не игнорировали этот канал. Потенциально вывести через него можно в разы больше, что показывают атаки 2016 года.

Для проникновения в сеть банка и закрепления в системе Cobalt использует Cobalt Strike — это фреймворк для проведения тестов на проникновение, позволяющий доставить на атакуемый компьютер полезную нагрузку и управлять ею. У MoneyTaker основной инструмент — фреймворк Metasploit и PowerShell Empire.

А главное — за этими группами стоят разные люди, которые, я уверен, уже в скором будущем предстанут перед судом и сядут в тюрьму.

Очевидно, что группировка MoneyTaker представляет не меньшую угрозу, чем Cobalt. Именно поэтому мы выпустили открытый отчет о преступлениях MoneyTaker, а также дали рекомендации службам безопасности банков о том, как минимизировать опасность, которую представляет эта группа. Для масштабного информирования участников финансового рынка о потенциальных рисках и предупреждении вероятных атак на российские банки необходима работа в этом направлении со стороны регулятора. Предупрежден — значит вооружен, а наши банки в большинстве своем наслышаны о Cobalt, регулярно появляющейся в отчетах FinCERT, но, увы, не знают о других угрозах, а значит, находятся в зоне повышенного риска.

Сокращенная версия этой публикации доступна на сайте "КоммерсантЪ" по ссылке.