РУССКИЙ
РУССКИЙ
ENGLISH
19.03.2018

Большая разница: Cobalt vs MoneyTaker

Чем отличаются две самые активные преступные группы
Илья Сачков
CEO Group-IB
Банк России называет преступную группу Cobalt главной угрозой для российских банков — все прошедшие 11 успешных атак на российские банки с хищением более 1 млрд руб. приписывают ей. Мы следим за Cobalt с 2016 года — сейчас это действительно самая активная группировка, которая ворует деньги у банков по всему миру. Cobalt не знает каникул и выходных, действует весьма агрессивно, в связи с чем у некоторых экспертов появился соблазн «повесить» на нее все целевые атаки на банки. В том числе и совершенные другими преступными группировками.
Осенью 2017 года эксперты Group-IB первыми рассказали о деятельности преступной группы MoneyTaker, которая долгое время оставалась незамеченной, при этом всего за полтора года атаковала 20 банков и организаций по всему миру. Мы рассказали об атаках и индикаторах ее «работы», для того чтобы предупредить рынок об этой угрозе. Однако до сих пор слышим мнения, что все эти атаки — дело рук Cobalt.

Криминалисты Group-IB первыми выезжали к потерпевшим от Cobalt и MoneyTaker банкам. На протяжении ряда лет мы детально анализировали инструменты, цели, тактику обеих хакерских группировок, поэтому легко можем провести водораздел между ними и поставить точку в этих спорах.
Итак, хакеры из MoneyTaker всегда стараются оставаться незамеченными, используют «одноразовую» инфраструктуру, «бестелесные» программы и тщательно заметают следы своего присутствия. Для того чтобы соединения с сервером управления не вызывали подозрений у служб безопасности банков, злоумышленники используют SSL-сертификаты (своего рода уникальная цифровая подпись сайта) с именами известных международных брендов, в том числе банковских: Bank of America, Federal Reserve Bank, Microsoft, Yahoo). Один раз им даже удалось дважды атаковать один американский банк.

Группа Cobalt работает грубее, оставляет за собой много цифровых следов: она никогда не создавала сертификаты для своих серверов управления или рассылок, они делают ставку на массовые атаки. Эти злоумышленники работают в промышленных масштабах, атакуя большое количество банков сразу, практически не подстраиваясь под конкретную жертву. Совсем другое дело хакеры из MoneyTaker, они работают индивидуально с каждым «клиентом» и вносят изменения в код программы «на лету» — прямо во время проведения атаки.

MoneyTaker и Cobalt отличает уникальный набор инструментов, а также стиль фишинговых рассылок, с помощью которых происходит первоначальное заражение. В то время, пока группа Cobalt проводила атаки в Восточной Европе и СНГ, не используя никаких самописных программ (кроме ATMSpitter и упаковщиков), хакеры из MoneyTaker вносили изменения в код программы «на лету» — прямо во время проведения атаки. Одна из таких «самописных» программ — MoneyTaker 5.0 предназначена для автозамены платежных реквизитов в АРМ КБР (Автоматизированное рабочее место клиента банка России).
Инструменты, которые использует группа MoneyTaker
Кроме того, группировки используют разные пути вывода средств из банка. Восстанавливая картину преступлений, наша команда криминалистов отмечала, что группа Cobalt избегает компьютеров с АРМ КБР и предпочитает проводить атаки на банкоматы, платежные шлюзы, карточный процессинг и SWIFT. А вот MoneyTaker выводила деньги из российских банков, используя именно АРМ КБР. Логично предположить, что, имея в арсенале программу для совершения хищений через АРМ КБР, хакеры из Cobalt не игнорировали этот канал. Потенциально вывести через него можно в разы больше, что показывают атаки 2016 года.

Для проникновения в сеть банка и закрепления в системе Cobalt использует Cobalt Strike — это фреймворк для проведения тестов на проникновение, позволяющей доставить на атакуемый компьютер полезную нагрузку и управлять ею. У MoneyTaker основной инструмент — фреймворк Metasploit и PowerShell Empire.

А главное — за этими группами стоят разные люди, которые, я уверен, уже в скором будущем предстанут перед судом и сядут в тюрьму.

Анализ атак MoneyTaker
Очевидно, что группировка MoneyTaker представляет не меньшую угрозу, чем Cobalt. Именно поэтому мы выпустили открытый отчет о преступлениях MoneyTaker, а также дали рекомендации службам безопасности банков о том, как минимизировать опасность, которую представляет эта группа. Для масштабного информирования участников финансового рынка о потенциальных рисках и предупреждении вероятных атак на российские банки необходима работа в этом направлении со стороны регулятора. Предупрежден — значит вооружен, а наши банки в большинстве своем наслышаны о Cobalt, регулярно появляющейся в отчетах FinCERT, но, увы, не знают о других угрозах, а значит, находятся в зоне повышенного риска.

Сокращенная версия этой публикации доступна на сайте "КоммерсантЪ" по ссылке.