شبكة لى فنغ من قبل منظمة القراصنة الشهيرة MoneyTaker شجاعة جدا، وسرق بالفعل 1.0 مليون $ من بنك في معركة الأمة، ولكن طفرة غير الموجه عفا عليها الزمن.
كان الهجوم على بنك PIR ، الذي خسر ما لا يقل عن 920،000 دولار ، وكان المال في الأصل في الحساب المقابل للبنك الروسي.
في الوقت الحالي ، تتولى شركة أمان الشبكة الروسية Group-IB مسؤولية التحقيق في حادث القرصنة. بعد دراسة محطات العمل والخوادم المصابة من PIR Bank ، استنتجوا أن MoneyTaker هو بالتأكيد وراء الكواليس ، وفشلوا في القضاء على آثارهم بعد الهجوم.
المجموعة-IB مألوفة جدا مع تكتيكات MoneyTaker ، لأنه في ديسمبر من العام الماضي سحبوا قناع MoneyTaker من خلال تقرير.
بالإضافة إلى تصويت بنك PIR ، قامت MoneyTaker أيضاً بأعمال في الولايات المتحدة والبنوك والمؤسسات المالية البريطانية ، والتي يعود تاريخها إلى عام 2016. وأشارت المجموعة-IB، MoneyTaker في البنوك الهجوم والمؤسسات المالية تركز أساسا على تغلغل الإقراض المصرفي ونظم معالجة بطاقة، وربما كان الأكثر سيئ الحظ عملاء محطة العمل التلقائي ستار شبكة فيرست داتا والبنك المركزي الروسي (AWS CBR) نهاية النظام أ.
هؤلاء القراصنة هم ببساطة سادة التحكم في العمليات.
وجدت مجموعة-IB هذا MoneyTaker أيضا خدعة، نهاية مايو من هذا العام، نجاحها على ضفاف قديمة اختراق شبكة الموجه من قبل فرع للبنك بير.
'قناة جهاز التوجيه لديها مشكلة ، مما يسمح للمهاجم بالوصول مباشرة إلى الشبكة المحلية للبنك' شرح الخبراء الأمنيون للمجموعة-IB '. هذا الهجوم هو ببساطة علامة MoneyTaker ، نفس الطريقة التي استخدموها ثلاث مرات على الأقل. . "
مع اختراق جهاز التوجيه ، نجح المتسللون في إصابة الشبكة المحلية للمصرف بالبرامج الضارة ، وبعد ذلك بمساعدة برامج PowerShell ، يمكنهم تنفيذ أنشطتهم الخاطئة دون معرفة ذلك.
بعد الانتهاء من اختراق الشبكة الرئيسية لبنك PIR ، نجحت MoneyTaker في الوصول إلى حساب AWS CBR الخاص بالبنك ، حتى تتحكم في المعاملات المالية للبنك.
في 3 يوليو ، بدأت MoneyTaker في استخدام النظام لتحويل الأموال ، حيث قامت بتحويل 92 مليون دولار من حساب PIR Bank في البنك الروسي إلى الحسابات السابقة الافتتاح 17. تم إسقاط المال للتو ، و MoneyTaker الناس على الفور 4. تم سحب الأموال من أجهزة الصراف الآلي في جميع أنحاء روسيا ، وكانت الكفاءة مذهلة.
بعد يوم واحد ، اكتشف موظفو PIR Bank أن حساب البنك قد تم إفراغه ، وأن كل شيء كان قد فات.
عندما يرتكب MoneyTaker جريمة ، يقوم المتسللون المتورطون في الهجوم عادة بتفريغ السجلات على الكمبيوتر المصاب لإخفاء أماكنهم ، ولكن هذه المرة اكتشف Group-IB دخول المتسللين إلى الكمبيوتر المصاب.
هذا العام ، أصبحت MoneyTaker والبنوك الروسية أقوى.
هذه ليست المرة الأولى هذا العام البنوك هجوم MoneyTaker في روسيا، وفي وقت سابق من هذا العام أنها نجحت مرة واحدة، ولكن في النهاية لم يتخذ من "ثمار النصر. المجموعة-IB، وفقا للاحصاءات، كما حدث على الأقل هذا العام في روسيا 3 أحداث مماثلة ، لكنهم لن يعلنوا التفاصيل حتى نهاية التحقيق ، تعتقد المجموعة- IB أن اثنين على الأقل من هذه الأعمال يقوم بهما MoneyTaker.
في الواقع ، من الصعب تعقب مسارات MoneyTaker ، لأنهم يحبون استخدام أدوات نظام التشغيل الشائعة لتنفيذ هجمات ضارة ، فالهجمات التي تقوم بها البرمجيات الخبيثة المتخصصة ليست أسلوبهم ، بالإضافة إلى أنها ستقوم بمسح السجل بعد ارتكاب الجريمة ، قبل الهجوم ، سيتم دراسة شبكة ونظام الضحية بالتفصيل ، لكي نتمكن من معرفة أنفسنا والآخرين ، فإن MoneyTaker سوف يسرق الوثائق المصرفية مقدما لفهم بعضنا البعض.
في السنوات الثلاث منذ أن أصبح MoneyTaker عسكريًا ، سُرقت عشرات الملايين من الدولارات على الأقل من البنوك ، ويقول Group-IB أنه عندما يرتكب MoneyTaker جرائم في الولايات المتحدة ، فإنه يأخذ 500،000 دولار في المتوسط في كل مرة ، وفي روسيا سيرتفع هذا العدد إلى 120. عشرة آلاف دولار
وجدت لي فنغ أنه خلال السنوات الثلاث الماضية ، قام MoneyTaker بظهور 15 بنكًا أمريكيًا ، ومقدم خدمة أمريكي واحد ، وشركة برمجيات مصرفية بريطانية ، و 5 بنوك روسية ، وشركة قانونية روسية واحدة.
