Zhackowali router w oddziale rosyjskiego banku i ukradli niemal $1 000 000

21 lipca 2018, 10:58 | Aktualności | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.
TLDR: zhackowany router w oddziale -> dostęp do sieci LAN -> atak na system zarządzania przelewami -> zlecenie lewych przelewów -> wypłata pieniędzy z bankomatów. Game Over.

To kolejny efekt działania grupy MoneyTaker – o nazwie dość dobrze wskazującej na prowadzoną działalność. Celem grupy są banki (na razie potwierdzono działania w USA, UK i Rosji), a najnowsze ich „osiągnięcie” to dostanie się do infrastruktury PIR Banku i następnie wykradzenie środków – poprzez realizacje przelewów na wcześniej założone konta i natychmiastowe wypłacenie pieniędzy w bankomatach.

Atak miał miejsce w końcówce maja tego roku i rozpoczął się od ataku na jeden z oddziałowych routerów:

From Incident Response, Group-IB confirmed that the attack on PIR Bank started in late May 2018. The entry point was a compromised router used by one of the bank’s regional branches. The router had tunnels that allowed the attackers to gain direct access to the bank’s local network. This technique is a characteristic of MoneyTaker.

Dalej atakujący mieli dostęp do LAN-u, wycelowali więc swoje cyber karabiny w system sterujący przelewami. Zacytujmy dłuższy (i bogaty w treść!) fragment raportu:

When the criminals hacked the bank’s main network, they managed to gain access to AWS CBR (Automated Work Station Client of the Russian Central Bank), generate payment orders, and send money in several tranches to mule accounts prepared in advance.

On the evening of July 4, when bank employees found unauthorized transactions with large sums, they asked the regulator to block the AWS CBR digital signature keys but failed to stop the financial transfers in time. Most of the stolen money was transferred to cards of the 17 largest banks on the same day and immediately cashed out by money mules involved in the final stage of money withdrawal from ATMs.

W trakcie ataku, grupa czyściła również logi i pozostawiła trochę bakcdoorów, które prawdopodobnie zostały usunięte na etapie obsługi incydentu:

Moreover, the criminals left some so-called ‘reverse shells,’ programs that connected the hackers’ servers from the bank’s network and waited for new commands to conduct new attacks and gain the access to the network.

Bardzo konserwatywne szacowanie” wskazuje na wyprowadzenie środków z banku na kwotę prawie $1 000 000.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. krzypix

    Jak ja takich ludzi podziwiam.:)
    Don’t get caught!

    Odpowiedz
    • Gal

      @krzypix, Za co ich tak właściwie podziwiasz?

      Odpowiedz
    • Wiesław

      A ja ich ścigam.

      Odpowiedz
  2. eS

    @Gal zgaduję, że za umiejętności. W tym organizacyjne.

    Odpowiedz
  3. Wieslaw, to ich nie zlapiesz ;)

    Odpowiedz

Odpowiedz