В начале июля киберпреступники совершили успешную атаку на ПИР Банк — дерзкая операция опустошила корсчёт ЦБ на 58 миллионов рублей. Хакерам удалось получить доступ к основной системе банка: для этого использовался скомпрометированный маршрутизатор, который находился в одном из территориальных подразделений Банка.
После этого они сформировали платёжные поручения и вывели денежные средства веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50. Большую часть мулы (участники атаки, привлекаемые к финальному этапу вывода денег из банкоматов) смогли обналичить уже в ночь хищения.
Дежавю
Вскоре после инцидента председатель правления Сбербанка Герман Греф назвал ответственной за нападение группировку Carbanak. Однако компании Group-IB, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности, в ходе расследования удалось установить, что за атакой на ПИР Банк стоят совсем другие люди.
Специалисты исследовали заражённые рабочие станции и серверы финансовой организации и обнаружили уже знакомые инструменты, которые ранее использовались в ходе других атак на банки. Собрав воедино все элементы цифрового пазла, Group-IB получила неопровержимые доказательства того, что за случившимся может стоять только одна группа — MoneyMaker.
Следите за развитием событий в нашем Телеграм-канале
Убедиться в её причастности экспертам удалось благодаря пошаговому восстановлению всех действий киберпреступников. Так, например, они вновь запустили сервисы через скрипты PowerShell. Это необходимо для получения полного контроля над избранными рабочими станциями и серверами с помощью Meterpreter (Metasploit Framework).
При этом хакеры после атаки не собирались покидать сеть: на серверах сотрудники Group-IB нашли программы, которые из сети банка подключались к серверам злоумышленников. Таким образом «спящие агенты» ждали новых команд для возможности проведения повторных атак и доступа в сеть. Весь вредоносный софт своевременно удалили благодаря бдительности специалистов.
Чтобы замести следы, MoneyMaker использует очистку системных журналов операционной системы, журналов прикладных систем и удаление системных файлов. Этот способ злоумышленники применяли и во время атаки на ПИР Банк.
Неуловимые
Group-IB считает MoneyMaker весьма опасной хакерской группировкой. Стараясь оставаться незамеченной, она похищает не только денежные средства, но и документацию о системах межбанковских платежей. Последняя в дальнейшем может стать ключевым элементом при следующих атаках.
Специалисты сравнили MoneyMaker с группой Cobalt, которую ЦБ, в свою очередь, назвал главной угрозой российских банков. Впервые MM засветилась пару лет назад — их дебют пришёлся на один из американских банков. Следующую атаку киберпреступники провели спустя несколько месяцев, выбрав целью российскую систему межбанковских переводов.
Эксперты отмечают, что с момента появления на цифровом горизонте MoneyMaker её география сужается с каждым годом. В 2016-м это были США, Россия и Англия. В 2017-м — США и Россия. А в этом году злоумышленники пока показались только в российских банках.
Чтобы не стать следующей целью хакерской группы, Group-IB посоветовала проверить сетевые маршрутизаторы на наличие актуальной прошивки, на возможность перебора паролей и способность оперативно обнаруживать факт изменения конфигурации маршрутизатора. Все необходимые рекомендации эксперты уже направили службам безопасности финансовых организаций.
Если вы хотите более подробно узнать о механизмах кибератак на банки и финансовые структуры, то специально для вас News.ru подготовил подробную инфографику.