Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, установила, что за атакой на российский ПИР Банк и попыткой хищения нескольких десятков миллионов рублей стоит преступная группа MoneyTaker. Инцидент произошел 3 июля с использованием АРМ КБР (автоматизированное рабочее место клиента Банка России). По заявлению банка, деньги выведены веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50, большая часть денежных средств обналичена уже в ночь хищения. После этого злоумышленники попытались «закрепиться» в сети банка для подготовки последующих атак, однако вовремя были обнаружены специалистами Group-IB.

В рамках произошедшего инцидента специалисты компании Group-IB в максимально короткие сроки помогли установить предполагаемый источник атаки, выстроить цепочку событий, а также локализовать проблему. На данный момент Банк работает в штатном режиме, все рекомендации компании Group-IB применяются и будут применяться в работе банка, чтобы не допустить подобных инцидентов в будущем.

Валерий Баулин

Ольга Колосова

Председатель Правления ООО ПИР Банк

Исследовав зараженные рабочие станции и сервера финансовой организации, криминалисты Group-IB собрали неопровержимые цифровые доказательства причастности к краже хакеров из MoneyTaker. В частности, экспертами были обнаружены инструменты, которые ранее уже использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также сам метод проникновения в сеть. Рекомендации по предотвращению подобных атак направлены финансовым организациям — клиентам и партнерам Group-IB, в том числе в ЦБ России. MoneyTaker — преступная группа, специализирующаяся на целевых атаках на финансовые организации, которую раскрыли эксперты Group-IB в декабре прошлого года, опубликовав аналитический отчет: «MoneyTaker: полтора года ниже радаров». Основными целями хакеров в банках являются карточный процессинг и системы межбанковских переводов (АРМ КБР и SWIFT).

 

Что случилось в ПИР Банке?

Как выяснили специалисты Group-IB, атака на ПИР Банк началась в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений Банка. На маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть Банка. В Group-IB подчеркивают: такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовался эту схему при атаках на банки, имеющих региональную филиальную сеть.

Для закрепления в системе банка и автоматизации некоторых этапов атаки хакеры MoneyTaker традиционно используют скрипты на PowerShell. Об этом методе эксперты Group-IB подробно писали в своем декабрьском отчете. Проникнув в основную сеть банка, злоумышленники смогли получить доступ к АРМ КБР (автоматизированному рабочему месту клиента Банка России), сформировать платежные поручения и отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета.

Утром 4 июля, обнаружив многочисленные несанкционированные транзакции в общей сложности на несколько десятков миллионов рублей, сотрудники Банка обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР, однако оперативно приостановить все финансовые переводы не удалось. Большая часть украденных средств была переведена на несколько десятков карт крупнейших банков РФ и сразу же обналичена сообщниками хакеров — мулами (money mule), привлекаемыми к финальному этапу вывода денег из банкоматов.

 

Заметая следы

Для затруднения реагирования на инцидент и дальнейшего его расследования, атакующие уничтожали следы пребывания в системе, характерным для MoneyTaker способом: на многочисленных компьютерах происходила очистка системных журналов операционной системы, журналов прикладных систем и удаление системных файлов. Однако криминалисты Group-IB пошагово восстановили все действия и инструменты злоумышленников: запуск сервисов через скрипты PowerShell для получения полного контроля над избранными рабочими станциями и серверами с помощью Meterpreter (Metasploit Framework), распространение по сети с помощью RDP, SMB, Dameware Mini Remote Control и Radmin и так далее.

Кроме этого, хакеры оставили на серверах ряд так называемых реверсшеллов — программ, которые из сети банка подключались к серверам злоумышленников и ожидали новых команд для возможности проведения повторных атак и доступа в сеть. Все это было выявлено сотрудниками Group-IB и удалено администраторами банка.

С начала 2018-го года это далеко не первая успешная атака на российский банк, завершившаяся выводом денег. Нам известно, как минимум о трех подобных инцидентах, однако до завершения расследования раскрывать подробности мы не можем. Что касается схем вывода: у каждой группы, специализирующейся на целевых атаках — Cobalt и MoneyTaker (они наиболее активны в 2018 году) — схема своя, она зависит от суммы и сценариев обнала, которые есть у хакеров. Нужно понимать, что атаки на АРМ КБР сложны в реализации и проводят их не часто, поскольку успешно «работать на машине с АРМ КБР» умеют далеко не все. Одной из крупнейших атак подобного рода остаётся инцидент образца 2016 года, когда хакеры МoneyTaker вывели порядка 120 млн рублей при помощи самописной одноименной программы.

Валерий Баулин

Валерий Баулин

Руководитель лаборатории компьютерной криминалистики Group-IB

 

Кто такие MoneyTaker и почему их сложно поймать?

Первая атака MoneyTaker была зафиксирована весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. После этого хакеры почти на 4 месяца «залегли на дно» и лишь в сентябре 2016 года атаковали банки в России. На этот раз их целью стала АРМ КБР — российская система межбанковских переводов. В целом, за 2016-й год Group-IB зафиксировала 10 атак MoneyTaker в США, в Англии и России. С 2017 года география атак сужается до России и США. В 2018 году мы зафиксировали две атаки MoneyTaker в России.

MoneyTaker имеет свой неповторимый «почерк». Хакеры стараются оставаться незамеченными, используют «одноразовую» инфраструктуру, «бестелесные» программы и тщательно заметают следы своего присутствия. Их отличает уникальный набор инструментов (для закрепления в системе группа использует фреймворк Metasploit и PowerShell Empire).

Очевидно, что MoneyTaker представляет не меньшую угрозу, чем группа Cobalt, названная ЦБ главной угрозой российских банков. В связи с инцидентом в ПИР Банке Group-IB предоставила рекомендации службам безопасности финансовых организаций о том, как минимизировать опасность, которую представляет эта группа. Поскольку в большинстве успешных атак MoneyTaker точкой входа являлись маршрутизаторы, необходимо, в первую очередь, проверить их на наличие актуальной прошивки, на возможность перебора паролей и способность оперативно обнаруживать факт изменения конфигурации маршрутизатора.

В декабрьском отчете Group-IB говорилось, что к тому времени на счету MoneyTaker были 16 атак в США, 3 — на банки России и 1 — на ИТ-компанию в Великобритании. В США средний ущерб от одной атаки составлял $500 000. В России средний объем выведенных средств — 72 млн. рублей. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте