Цифровые сыщики: Group-IB вышла на след киберворов ПИР-Банка

В начале июля киберпреступники совершили успешную атаку на ПИР-Банк — дерзкая операция опустошила корсчёт ЦБ на 58 миллионов рублей. Хакерам удалось получить доступ к основной системе банка: для этого использовалось скомпрометированный маршрутизатор, который находился в одном из территориальных подразделений Банка. После этого они сформировали платёжные поручения и вывели денежные средства веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50. Большую часть мулы (участники атаки, привлекаемые к финальному этапу вывода денег из банкоматов) смогли обналичить уже в ночь хищения. Дежавю Вскоре после инцидента председатель правления Сбербанка Герман Греф назвал ответственными за нападение группировку Carbanak. Однако компании Group-IB, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности, в ходе расследования удалось установить, что за атакой на ПИР-Банк стоят совсем другие люди. News.ru/Руслан Исхаков Герман Греф Специалисты исследовали заражённые рабочие станции и сервера финансовой организации и обнаружили уже знакомые инструменты, которые ранее использовались в ходе других атак на банки. Собрав воедино все элементы цифрового пазла, Group-IB получила неопровержимые доказательства того, что за случившимся может стоять только одна группа — MoneyMaker Убедиться в её причастности экспертам удалось благодаря пошаговому восстановлению всех действия киберпреступников. Так, например, они вновь запустили сервисы через скрипты PowerShell. Это необходимо для получения полного контроля над избранными рабочими станциями и серверами с помощью Meterpreter (Metasploit Framework). При этом хакеры после атаки не собирались покидать сеть: на серверах сотрудники Group-IB нашли программы, которые из сети банка подключались к серверам злоумышленников. Таким образом «спящие агенты» ждали новых команд для возможности проведения повторных атак и доступа в сеть. Весь вредоносный софт своевременно удалили благодаря бдительности специалистов. Чтобы заместили следы, MoneyMaker использует очистку системных журналов операционной системы, журналов прикладных систем и удаление системных файлов. Этот способ злоумышленники применяли и во время атаки на ПИР-Банк. Неуловимые Group-IB считает MoneyMaker весьма опасной хакерской группировкой. Стараясь оставаться незамеченной, она похищает не только денежные средства, но и документацию о системах межбанковских платежей. Последняя в дальнейшем может стать ключевым элементом в следующих атаках. Global Look Press/Frank Duenzl Специалисты сравнили MoneyMaker с группой Cobalt, которую ЦБ, в свою очередь, назвал главной угрозой российских банков. Впервые MM «засветилась» пару лет назад — их дебют пришёлся на один из американских банков. Следующую атаку киберпреступники провели спустя несколько месяцев, выбрав целью российскую систему межбанковских переводов. Эксперты отмечают, что с момента появления на цифровом горизонте MoneyMaker её география сужается с каждым годом. В 2016 это были США, Россия и Англия. В 2017 — США и Россия. А в этом году злоумышленники пока показались только в российских банках. Чтобы не стать следующей целью хакерской группы, Group-IB посоветовала проверить сетевые маршрутизаторы на наличие актуальной прошивки, на возможность перебора паролей и способность оперативно обнаруживать факт изменения конфигурации маршрутизатора. Все необходимые рекомендации эксперты уже направили службам безопасности финансовых организаций. Если вы хотите более подробно узнать о механизмах кибератак на банки и финансовые структуры, то специально для вас News.ru подготовил подробную инфографику.