Как отметили в Group-IB, первую хакерскую атаку группировка совершила весной 2016 г. Тогда из банка США мошенники похитили деньги при получении доступа к системе карточного процессинга STAR компании FirstData. Получив доступ в сеть банка, они скомпрометировали рабочее место операторов FirstData STAR network portal, внесли необходимые изменения и сняли деньги. В августе 2016 г. мошенники взломали один из банков в России, где использовали программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР (Автоматизированное рабочее место клиента Банка России).
По словам специалистов Group-IB, MoneyTaker регулярно проводит целенаправленные атаки против банков, постоянно меняя локации. Кроме того, группировка атакует адвокатские конторы и производителей финансового программного обеспечения (ПО). В целом за 2016 г. компания зафиксировала 10 атак MoneyTaker: шесть на банки в США, одну на американского провайдера ИТ-услуг, одну на банк Англии и две на российские банки. Лишь одна из них - в российском банке - была оперативно выявлена и предотвращена. В компании уточнили, что за полтора года эта группа провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании.
"С 2017 г. география сужается до России и США, общее количество атак прежнее: на американские банки - восемь атак, адвокатскую контору - одна, банки России - одна. В результате расследования, проведенного с помощью системы Threat Intelligence, в Group-IB обнаружили связи между всеми 20 инцидентами", - отметили эксперты компании. В настоящее время компания направила информацию о деятельности группы MoneyTaker в Европол и Интерпол.
"Организуя атаки, MoneyTaker использует общедоступные инструменты, что делает процесс атрибуции инцидента нетривиальной задачей, - прокомментировал руководитель департамента киберразведки Group-IB Дмитрий Волков. - Кроме того, инциденты происходят в разных регионах мира. Один из банков они ограбили дважды, что свидетельствует о недостаточно качественном расследовании первого нападения". Эксперты Group-IB отметили, что в США средний ущерб от одной атаки составляет $500 тыс. В России средний объем извлеченных группой денежных средств вследствие компрометации АРМ КБР - 72 млн руб.
Исследуя инфраструктуру атакующих, специалисты Group-IB обнаружили, что мошенники MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах - руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т.п. На данный момент в Group-IB исследуют несколько эпизодов со скопированными документами о работе SWIFT. Их характер и географическая принадлежность могут свидетельствовать о готовящихся атаках на объекты в Латинской Америке.
Специалисты компании пояснили, что для проведения целенаправленных атак MoneyTaker использует распределенную инфраструктуру, которую сложно отследить. Уникальной особенностью группы является применение Persistence-сервера, который "отдает" полезную нагрузку только для реальных жертв, чьи IP-адреса добавлены в белый список. Стараясь как можно дольше оставаться в тени, хакеры используют "бестелесные" программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, для защиты взаимодействия вредоносной программы и сервера управления мошенники используют не случайно сгенерированные SSL-сертификаты, а специально созданные с применением доверенных брендов (Bank of America, Federal Reserve Bank, Microsoft, Yahoo и др.).
Помимо этого, в Group-IB отметили, что члены преступной группировки MoneyTaker используют как заимствованный софт, так и созданный мошенниками. Еще одна характерная черта: совершив успешную атаку, хакеры не спешат покидать место преступления, а продолжают шпионить за сотрудниками банка после взлома корпоративной сети с помощью пересылки входящих писем на адреса Yandex и Mail.ru в формате first.last@yandex.com.
В Group-IB рассказали, что важными "находками", позволившими обнаружить связи между преступлениями, стали программы для повышения привилегий, скомпилированные на основе кодов с российской конференции ZeroNights 2016. Кроме того, в отдельных инцидентах компания использовала банковские трояны Citadel и Kronos. Последний применялся для установки POS-трояна ScanPOS.
Дмитрий Волков прогнозирует, что количество группировок и киберпреступлений в ближайшие несколько лет будет расти. "Вся организованная преступность, традиционный криминалитет уходят в Интернет. Сегодня стать жертвой злоумышленников гораздо больше шансов, чем нарваться на уличного грабителя. По нашим оценкам, 98% преступников мотивированы получением финансовой выгоды", - сказал он.
Первые масштабные целевые атаки на российские банки специалисты Group-IB зафиксировали в 2013 г. Если в 2014 г. было известно о двух хакерских группах, Anunak и Corkow, проводивших целевые атаки, то в 2015 г. их было три (Anunak, Corkow, Andromeda), а в 2016 г. - четыре (Buhtrap, Lurk, Cobalt, MoneyTaker). "Логика преступников понятна: больше денег, меньше рисков. Сейчас, в 2017 г., активны Cobalt, MoneyTaker, Anunak и еще две группы, которые мы изучаем. Со второго полугодия 2016 г. количество целенаправленных атак на банки в России упало на 33%. Групп и инцидентов стало больше, но хакеры ушли за пределы России - они переключились на иностранные финансовые организации и их клиентов", - резюмировал Дмитрий Волков.
Мария Андреева