16+
Кадр из фильма «Девушка, которая застряла в паутине»

Атака на ПИР Банк: Group-IB вышла на след киберворов

Эксперты нашли доказательства причастности хакерской группировки MoneyMaker
15:05, 19 июля 2018 92
Фото: Sony Pictures Entertainment

В начале июля киберпреступники совершили успешную атаку на ПИР Банк — дерзкая операция опустошила корсчёт ЦБ на 58 миллионов рублей. Хакерам удалось получить доступ к основной системе банка: для этого использовался скомпрометированный маршрутизатор, который находился в одном из территориальных подразделений Банка. 


После этого они сформировали платёжные поручения и вывели денежные средства веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50. Большую часть мулы (участники атаки, привлекаемые к финальному этапу вывода денег из банкоматов) смогли обналичить уже в ночь хищения.

Дежавю

Вскоре после инцидента председатель правления Сбербанка Герман Греф назвал ответственной за нападение группировку Carbanak. Однако компании Group-IB, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности, в ходе расследования удалось установить, что за атакой на ПИР Банк стоят совсем другие люди.

Герман ГрефNews.ru/Руслан Исхаков

Герман Греф

Специалисты исследовали заражённые рабочие станции и серверы финансовой организации и обнаружили уже знакомые инструменты, которые ранее использовались в ходе других атак на банки. Собрав воедино все элементы цифрового пазла, Group-IB получила неопровержимые доказательства того, что за случившимся может стоять только одна группа — MoneyMaker.

Убедиться в её причастности экспертам удалось благодаря пошаговому восстановлению всех действий киберпреступников. Так, например, они вновь запустили сервисы через скрипты PowerShell. Это необходимо для получения полного контроля над избранными рабочими станциями и серверами с помощью Meterpreter (Metasploit Framework).

ТАСС/Максим Григорьев

При этом хакеры после атаки не собирались покидать сеть: на серверах сотрудники Group-IB нашли программы, которые из сети банка подключались к серверам злоумышленников. Таким образом «спящие агенты» ждали новых команд для возможности проведения повторных атак и доступа в сеть. Весь вредоносный софт своевременно удалили благодаря бдительности специалистов.

Чтобы замести следы, MoneyMaker использует очистку системных журналов операционной системы, журналов прикладных систем и удаление системных файлов. Этот способ злоумышленники применяли и во время атаки на ПИР Банк.

Неуловимые

Group-IB считает MoneyMaker весьма опасной хакерской группировкой. Стараясь оставаться незамеченной, она похищает не только денежные средства, но и документацию о системах межбанковских платежей. Последняя в дальнейшем может стать ключевым элементом при следующих атаках. 

Global Look Press/Frank Duenzl

Специалисты сравнили MoneyMaker с группой Cobalt, которую ЦБ, в свою очередь, назвал главной угрозой российских банков. Впервые MM засветилась пару лет назад — их дебют пришёлся на один из американских банков. Следующую атаку киберпреступники провели спустя несколько месяцев, выбрав целью российскую систему межбанковских переводов.

Эксперты отмечают, что с момента появления на цифровом горизонте MoneyMaker её география сужается с каждым годом. В 2016-м это были США, Россия и Англия. В 2017-м — США и Россия. А в этом году злоумышленники пока показались только в российских банках.

Чтобы не стать следующей целью хакерской группы, Group-IB посоветовала проверить сетевые маршрутизаторы на наличие актуальной прошивки, на возможность перебора паролей и способность оперативно обнаруживать факт изменения конфигурации маршрутизатора. Все необходимые рекомендации эксперты уже направили службам безопасности финансовых организаций.

Если вы хотите более подробно узнать о механизмах кибератак на банки и финансовые структуры, то специально для вас News.ru подготовил подробную инфографику.

Добавьте наши новости в избранные источники

Загрузка...
Новости СМИ2