РУССКИЙ
РУССКИЙ
ENGLISH
Как тебе такое, Carbanak?
Эксперты Group-IB объясняют на пальцах, чем группа Anunak\Carbanak отличается от хакеров из MoneyTaker, ограбивших ПИР Банк
Сергей Никитин
Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB
Рустам Миркасымов
Руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB

Виталий Трифонов
Заместитель руководителя Лаборатории по анализу вредоносного кода Group-IB
В конце мая 2018 года хакеры скомпрометировали маршрутизатор в одном из подразделений ПИР Банка и получили доступ к его локальной сети. Злоумышленники добрались до АРМ КБР (автоматизированному рабочему месту клиента Банка России), сформировали платежные поручения и 3 июля отправили несколькими траншами деньги «в рейс». Всего, как сообщали источники "КоммерсантЪ", хакеры пытались украсть около 58 млн рублей. Переводы ушли на заранее подготовленные счета и пластиковые карты в 17 банках из топ-50, большую часть из них сразу же обналичили сообщники хакеров — money mule.

Эта история произвела эффект разорвавшейся бомбы. 6 июля СМИ написали, что произошло первое (!) успешное ограбление российского банка хакерами в 2018 году, а за этой кибератакой якобы стоит группа Anunak\Carbanak. На самом деле с начала 2018-го года это далеко не первая успешная атака на российский банк, завершившаяся выводом денег. Нам известно, как минимум о трех подобных инцидентах. А самое главное — и это показало расследование Group-IB — Anunak не имеет отношения к атаке на ПИР Банк. Это был ложный след.
Anunak самая опытная группа, атаковавшая в 2013-2014 годах более 50 российских банков и 5 платежных систем, похитив в общей сложности более 1 млрд рублей (около $25 млн). Также атаковала POS-терминалы американских и европейских ритейл-сетей. Активно вовлекала новых людей в атаки и делилась опытом. Имеет целый ряд последователей, копирующих их тактику. Начиная с 2016 года не совершила ни одного успешного хищения на территории России.
6 июля ПИР Банк привлек к расследованию Group-IB и наши криминалисты исследовали зараженные рабочие станции, сервера финансовой организации и собрали неопровержимые цифровые доказательства причастности к краже хакеров из MoneyTaker. Были обнаружены инструменты, которые ранее уже использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также установлен сам метод проникновения в сеть.
MoneyTaker — преступная группа, специализирующаяся на целевых атаках на финансовые организации. Основной целью хакеров являются карточный процессинг и системы межбанковских переводов. На счету MoneyTaker 16 атак в США, 5 – на банки России и 1 – в Великобритании. В США средний ущерб от одной атаки составляет $500 000. В России средний объем выведенных средств – 72 млн. рублей. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак. В декабре 2017 года Group-IB опубликовала первый отчет об этой группе: «MoneyTaker: полтора года ниже радаров».
Большая разница
Сейчас мы подробно расскажем, почему у нас нет сомнений, что атака на ПИР Банк - дело рук MoneyTaker, и чем они отличаются от хакеров из Anunak.

Новость Group-IB, выпущенная по итогам проведенного в ПИР Банке реагирования на инцидент (Incident Response), описывает часть инструментов хакерской группы MoneyTaker, использовавшихся для атаки на банк. Мы уверены, что хакеры делают все возможное, чтобы оставаться:

а) незамеченными, находясь уже в системе банка/компании;

б) не пойманными после того, как они провели атаку и/или вывели деньги.

Для этих целей они путают следы, «чистят» все улики, указывающие на них и, конечно, делают все, чтобы форензик-эксперты (киберкриминалисты, аналитики), а также реверс-инженеры не смогли корректно атрибутировать инцидент. Атрибуция – соотнесение инструментов, используемых в атаке, с конкретной группой, их тактики проведения атак – это высший пилотаж расследований, который усложняется фактически с каждой новой атакой.

Почему?

Все просто. Если ты передвигаешься по улицам Москвы на Сhevrolet Impala 67-ого года, тебя не сложно выделить в потоке. А вот если ты едешь на одном из тысяч такси – понять, что едешь в машине именно ты и определить в какой – гораздо сложнее.
Так и с атрибуцией хакеров: уникальный троян, написанный конкретной группой, сразу «выдаст» группу и позволит связать инциденты в цепочку. А если этот троян у группы А арендует группа Б, то связать инциденты с группой А будет уже неверно, ведь какой-то из них совершила группа Б.

Это приземленный пример, тем не менее дающий представление о том, что правильная атрибуция – это результат многолетнего опыта в области киберразведки (Threat Intelligence), киберкриминалистики, анализа вредоносного кода и других смежных областей. Именно поэтому мы придерживаемся принципов жесткой проверки по каждому эпизоду и его атрибуции с конкретной группой.

Ладно, оставим лирику, вернемся к фактам.
Anunak vs MoneyTaker
В чем разница?
Лидеры групп
Используемые инструменты и тактика групп позволяют сделать выводы о том, что ими руководят разные люди.
Заражение
Схема распространения в сети группы MoneyTaker значительно отличается от Anunak. Об этом также говорят и самоподписанные SSL-сертификаты, используемые группой MoneyTaker.
Атакуемые цели
Anunak в современной ипостаси (группа работает с начала 2013 года) интересуется, помимо банковской сферы, еще и POS терминалами, атакуя гостиницы и рестораны. MT интересны только банки. Даже в тех случаях, когда хакеры МТ атаковали ИТ-вендоров или операторов, их конечной целью всегда были банки.
Инструменты
Anunak разрабатывают уникальные инструменты (выделены в таблице) для управления зараженными компьютерами. МТ, в свою очередь, разрабатывают софт только для непосредственного вывода денег. Все остальные программы - открытые.
До 2016 года Anunak использует:
После 2016 года Anunak использует:
Инструменты MoneyTaker:
Тактика
Тактические моменты – это важнейшая часть атрибуции. Мы фактически говорим о «почерке» группы. Характерными для Anunak являются: первоначальный вход в сеть через фишинг или эксплоит-кит, закрепление в системе, распространение в сети, доступ к администратору домена и контроллеру домена, доступ к почтовым серверам, доступ к банковским и платежным системам, видеосъемка (скринкаст) деятельности операторов цели, обеспечение персистентности в системе, в том числе с помощью изменений правил фаервола.

А вот как чаще всего действуют MoneyTaker: компрометация уязвимого роутера, создание туннелей на роутере (до ПИР Банка хакеры уже как минимум дважды использовали эту схему при атаках на банки, имеющих региональную филиальную сеть), достаточно длительное изучение сети, закрепление на скомпрометированных машинах, установка программы удаленного управления Dameware.

Для затруднения реагирования на инцидент и дальнейшего его расследования, атакующие уничтожали следы пребывания в системе, характерным для MoneyTaker способом: на многочисленных компьютерах происходила очистка системных журналов операционной системы, журналов прикладных систем и удаление системных файлов.

Кроме этого, в истории с ПИР Банком хакеры оставили на серверах ряд так называемых реверс-шеллов — программ, которые из сети банка подключались к серверам злоумышленников и ожидали новых команд для возможности проведения повторных атак и доступа в сеть. Все это было выявлено сотрудниками Group-IB и удалено администраторами банка.

Кроме того, при сравнении групп мы учитываем хронологию и географию атак.
Anunak
начало 2013 года - по 2015 год


Первые целевые атаки на банки России и стран СНГ.
январь 2015 года


Арестованы несколько участников преступной группы, после чего группа распадается на несколько других, которые продолжают атаковать банки, но работают в разных регионах и используют разные тактики и инструменты.
2016 год
С начала 2016 года троян Anunak перестает использоваться в атаках, оставшиеся на свободе члены группы смещают фокус на США и разрабатывают новые инструменты Но в первых атаках используют Anunak, что позволило связать кейсы. Не работает по банкам России с 2016 года!


MoneyTaker
Таймлайн атак из декабрьского отчета Group-IB MoneyTaker
Разоблачение MoneyTaker
Эксперты Group-IB о ранее неизвестных атаках на банки и производителей ПО