MoneyTaker (MoneyTaker)

MoneyTaker — русскоязычная хакерская группа, атакующая банки и юридические организации. Действует с мая 2016. На 2021 год идентифицировать членов хакерской группы не удалось^[1]^[2].

За этот период группировка совершила по меньшей мере 22 идентифицированных атаки на различные компании. Шестнадцать из них пришлись на банки США, 5 — на российские компании, одна — на компанию в Великобритании^[3]^[4]^[5].

Идентифицированные атаки[править | править код]

Согласно первому аналитическому отчёту, посвященному MoneyTaker как минимум 16 из идентифицированных атак группы пришлись на организации в США. Средний ущерб от одной атаки составил $500 тысяч^[3]^[6]. Преступники похитили документацию к системе FedLink компании OceanSystems: этой платформой пользовались 200 банков в Латинской Америке и США^[7].

В России за все время хакеры совершили пять атак на банки и одну на юридическую фирму. Основной целью атак группы в России была система межбанковских переводов АРМ КБР. Средний размер ущерба от одного инцидента составил $1,2 млн, однако часть денег пострадавшим банкам удалось вернуть. Общая сумма финансовых потерь превысила $3 млн^[6]^[2]^[8].

В Великобритании атаку совершили на поставщика программного обеспечения и услуг^[6].

История[править | править код]

В мае 2016 года произошла первая зафиксированная атака группировки: из банка США во Флориде похитили деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData^[7].

В августе 2016 года хакеры успешно взломали один из российских банков, который использовал систему межбанковских переводов АРМ КБР. После получения доступа в систему хакеры загрузили собственную программу MoneyTaker v5.0, которая осуществляла инициализацию, проверяя наличие модулей, указанных в конфигурационном файле, и бэкапы определенных каталогов АРМ КБР^[2]^[7].

В октябре 2017 года зафиксировали целевую атаку на финансовые организации России, Армении и Малайзии. Однако здесь мнения исследователей разошлись: часть из них приписывает ее группе Silence, другая — MoneyTaker. Первая волна атаки началась в июле. Злоумышленники рассылали фишинговые письма с вредоносными вложениями, при этом могли использовать для этого инфраструктуру уже зараженных учреждений и отправлять сообщения от имени настоящих сотрудников^[9]^[10].

В ноябре 2017 хакеры получили доступ к серверам и рабочим местам операторов АРМ КБР в одном из банков России, но воспользоваться вредоносным ПО MoneyTaker v5.0 они не смогли из-за того, что сервер находился в полностью изолированном сегменте. После неудачной попытки похитить деньги через систему межбанковских переводов они переключили свой фокус на систему карточного процессинга. В 2018 году удалось обнаружить начальную точку проникновения. Доступ в корпоративную сеть хакеры получили в 2016 году, атаковав личный (домашний) компьютер администратора этой финансовой организации. При этом после атаки они использовали программу, которая удаляла все компоненты использованных ими программ, однако допустили ошибку в коде, из-за чего данные остались на атакованном компьютере.

В декабре 2017 года группа была идентифицирована, ее назвали MoneyTaker, по заглавию основной используемой хакерами программы^[3]. Специалисты выпустили технический отчет с описанием тактики хакеров и используемых инструментов.^[2]^[3]^[7].

В июле 2018 года злоумышленники совершили атаку на ПИР-банк в России. Из банка было украдено минимум $920 000. Глава Сбербанка Герман Греф заявлял, что атаку на ПИР Банк совершила группа Carbanak.^[11] Однако компания, проводившая расследование инцидента, заявила, что эта информация не подтвердилась и за атакой стоят MoneyTaker. Хакеры скомпрометировали сеть банка через устаревший маршрутизатор в региональном филиале, доступ к нему был получен в мае. Действия преступников в локальной сети банка оставались незамеченными до тех пор, пока они не добрались до АРМ КБР (автоматизированному рабочему месту клиента Банка России), необходимого для вывода денег. Средства выводились на 17 заранее созданных счетов. Большая часть денежных средств обналичена уже в ночь хищения. Сотрудники ПИР-банка обнаружили взлом днем позже. Злоумышленники попытались «закрепиться» в сети банка для подготовки последующих атак, однако вовремя были обнаружены. По некоторым данным^[12] банку удалось вернуть часть денег. По другим данным было уже слишком поздно отменять транзакции^[4]^[13].

В октябре этого же года группировка совершила фишинговую рассылку писем, стилизованных под официальные документы ЦБ РФ^[5].

На 2021 год идентифицировать членов хакерской группы не удалось.

Инструменты и тактика[править | править код]

Для проникновения в корпоративную сеть группа использовала легитимный фреймворк Metasploit и PowerShell Empire^[8].

Хакеры разворачивали новую инфраструктуру для каждой кампании, а после успешной компрометации тщательно уничтожали следы того, как именно они получили доступ в сеть^[8]. Уникальной особенностью инфраструктур было использование Persistence сервера, который отдает полезную нагрузку только для реальных жертв, чьи IP-адреса добавлены в белый список^[7].

Главный инструмент группы — легитимный фреймворк для проведения тестов на проникновение Metasploit. С его помощью преступники осуществляли сетевую разведку и искали уязвимости, эксплуатировали их, повышали права в системе, собирали информацию и пр. С сервера, на котором устанавливался Metasploit, велось управление всей атакой. Когда полезная нагрузка (Meterpreter) запускалась на скомпрометированном хосте, она инициировала исходящие соединение по SSL, что позволяло избегать обнаружения системами сетевой безопасности. По умолчанию Metasploit генерирует самоподписанные SSL сертификаты и указывает случайные значения в полях: Valid from, Valid till, Common name, что может вызвать подозрения. Поэтому группа MoneyTaker перед проведением атаки также генерировала самоподписанные SSL сертификаты, но поля заполняла не случайным образом, а указывала названия узнаваемых брендов, что снижало вероятность обнаружения^[14].

Для первичной компрометации использовались одноразовые сервера, которые менялись после успешного проникновения. Такие сервера отдавали вредоносную «полезную нагрузку» только для установленного списка IP-адресов, принадлежащих атакованной компании. Так преступники предотвращали попадание «полезной нагрузки» к внешним аналитикам и экспертам.

Для распространения по сети хакеры использовали легитимные инструменты PowerShell^[8], а также банковские трояны Citadel и Kronos^[7]. Злоумышленники использовали два метода распространения полезной нагрузки — публикацию в сетевой папке исполняемых файлов и их принудительный запуск на компьютере жертвы, либо указание напрямую в строке запуска службы шелл-кода.

Для перехвата межбанковских операций группировка использовала самописную программу MoneyTaker v5.0^[7].

Для паролей, которые были получены в виде хеша NTLM и не были расшифрованы, использовался механизм Pass-the-hash, который позволяет применять хеш NTLM для аутентификации без знания пароля. Для этого использовались все те же штатные модули psexec в Metasploit без какой-либо модификации. После получения доступа к новым системам процесс сбора парольной информации повторялся.

Группа использовала «бестелесные» программы, которые работали только в оперативной памяти и уничтожались после перезагрузки^[2]^[6]. Для закрепления в системе атакующие использовали скрипты на PowerShell, VBS. Особенностью группы MoneyTaker являлось использование для этих операций отдельного сервера.

Для запуска «полезной нагрузки» использовали Dropper. Эта программа дешифрует буфер данных, хранящийся в инсталляторе в зашифрованном виде, и внедряет его в дочерний процесс (запущенный последним).

После успешной атаки группировка не спешила покидать «место преступления», а продолжали шпионить за сотрудниками банка после взлома корпоративной сети, чтобы также похитить внутреннюю документацию по работе с банковскими системами (руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т. п.)^[3]^[15].

Для отслеживания работы реальных операторов систем использовались легитимный инструмент NirCmd (позволяет удаленно записывать и удалять значения и ключи в реестре, записывать значения в файл INI, подключаться к сети VPN, перезапускать или выключать компьютер, изменить созданную / измененную дату файла, изменить настройки дисплея, выключать монитор и многое другое) и самописный скриншотер и кейлоггер^[7].

Группировка арендовала серверы на территории России и пользовалась почтами «Яндекса» и Mail.Ru^[16]^[7].

Примечания[править | править код]

↑ Alexander Antipov. Хакерская группировка MoneyTaker атакует банки по всему миру (рус.). www.securitylab.ru (11 декабря 2017). Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ ¹ ² ³ ⁴ ⁵ Хакерские атаки собрали в группировку // Коммерсантъ. Архивировано 29 июля 2021 года.
↑ ¹ ² ³ ⁴ ⁵ Group-IB оценила масштаб деятельности русскоязычных хакеров MoneyTaker (рус.). РБК. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ ¹ ² MoneyTaker strikes again: Notorious hackers steal $1 million from Russian PIR Bank (амер. англ.). TechGenix (31 июля 2018). Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ ¹ ² Эксперты зафиксировали атаку хакерской группы Silence на российские банки от лица ЦБ (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ ¹ ² ³ ⁴ "Hackers Linked to Russians Target Banks From Moscow to Utah". Bloomberg.com. 2017-12-11. Архивировано 18 апреля 2022. Дата обращения: 18 апреля 2022.
↑ ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ MoneyTaker Hacker Group Steals Millions from US and Russian Banks (амер. англ.). BleepingComputer. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ ¹ ² ³ ⁴ Hackers Breach Russian Bank and Steal $1 Million Due to Outdated Router (амер. англ.). BleepingComputer. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ "Лаборатория Касперского" сообщила о новой целевой кибератаке на банки РФ (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ Group-IB: атаковавшие банки РФ хакеры сконцентрировались на карточном процессинге (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ Греф: хакерская группировка Carbanak совершила атаку на ПИР Банк (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ «Коммерсантъ» сообщил о первой в 2018 году успешной атаке хакеров на банк (рус.). РБК. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ В Group-IB сообщили, что за хакерской атакой на ПИР Банк стоит группа MoneyTaker (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 26 февраля 2020 года.
↑ Bloomberg - Are you a robot? (неопр.) www.bloomberg.com. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ Охота за хакерами (рус.). www.comnews.ru. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.
↑ От Юты до Енисея: хакеры атакуют банки США и России (рус.). Газета.Ru. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[1] Alexander Antipov. Хакерская группировка MoneyTaker атакует банки по всему миру (рус.). www.securitylab.ru (11 декабря 2017). Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[:5-2] ¹ ² ³ ⁴ ⁵ Хакерские атаки собрали в группировку // Коммерсантъ. Архивировано 29 июля 2021 года.

[:6-3] ¹ ² ³ ⁴ ⁵ Group-IB оценила масштаб деятельности русскоязычных хакеров MoneyTaker (рус.). РБК. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[автоссылка2-4] ¹ ² MoneyTaker strikes again: Notorious hackers steal $1 million from Russian PIR Bank (амер. англ.). TechGenix (31 июля 2018). Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[автоссылка1-5] ¹ ² Эксперты зафиксировали атаку хакерской группы Silence на российские банки от лица ЦБ (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[автоссылка3-6] ¹ ² ³ ⁴ "Hackers Linked to Russians Target Banks From Moscow to Utah". Bloomberg.com. 2017-12-11. Архивировано 18 апреля 2022. Дата обращения: 18 апреля 2022.

[:1-7] ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ MoneyTaker Hacker Group Steals Millions from US and Russian Banks (амер. англ.). BleepingComputer. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[:0-8] ¹ ² ³ ⁴ Hackers Breach Russian Bank and Steal $1 Million Due to Outdated Router (амер. англ.). BleepingComputer. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[9] "Лаборатория Касперского" сообщила о новой целевой кибератаке на банки РФ (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[10] Group-IB: атаковавшие банки РФ хакеры сконцентрировались на карточном процессинге (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[11] Греф: хакерская группировка Carbanak совершила атаку на ПИР Банк (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[12] «Коммерсантъ» сообщил о первой в 2018 году успешной атаке хакеров на банк (рус.). РБК. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[13] В Group-IB сообщили, что за хакерской атакой на ПИР Банк стоит группа MoneyTaker (неопр.). ТАСС. Дата обращения: 29 июля 2021. Архивировано 26 февраля 2020 года.

[14] Bloomberg - Are you a robot? (неопр.) www.bloomberg.com. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[15] Охота за хакерами (рус.). www.comnews.ru. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[16] От Юты до Енисея: хакеры атакуют банки США и России (рус.). Газета.Ru. Дата обращения: 29 июля 2021. Архивировано 29 июля 2021 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]