Lei Feng.com, die berüchtigte Hacker-Organisation MoneyTaker, ist wirklich groß, sie haben tatsächlich eine Million Dollar von einer Bank der kämpfenden Nation gestohlen, und die Lücke ist ein veralteter Router.
Der Angriff ging auf die PIR Bank, die mindestens $ 920.000 verlor, das Geld befand sich ursprünglich auf dem entsprechenden Konto der russischen Bank.
Derzeit ist das russische Netzwerksicherheitsunternehmen Group-IB für die Untersuchung des Hacking-Vorfalls zuständig. Nachdem sie die infizierten Workstations und Server der PIR Bank studiert hatten, kamen sie zu dem Schluss, dass MoneyTaker definitiv hinter den Kulissen steckt und es ihnen nicht gelang, ihre Spuren nach dem Angriff auszulöschen.
Group-IB ist mit den Taktiken von MoneyTaker sehr vertraut, weil sie im Dezember letzten Jahres die Maske von MoneyTaker durch einen Bericht gezogen haben.
Zusätzlich zu der PIR-Bankenabstimmung hat MoneyTaker auch in den Vereinigten Staaten, britischen Banken und Finanzinstitutionen Geschäfte gemacht, die bis ins Jahr 2016 zurückreichen. Group-IB wies darauf hin, dass sich MoneyTaker vor allem auf das Infiltrieren von Interbank-Kredit- und Kartenverarbeitungssystemen konzentriert, wenn es Banken und Finanzinstitute angreift.Die unglücklichsten sind das STAR Network of First Data und der automatisierte Workstation-Client des Systems der Zentralbank Russlands (AWS CBR). Über.
Diese Hacker sind einfach Meister der Prozesskontrolle.
Group-IB stellte fest, dass diesmal auch MoneyTaker eine Widmung war: Ende Mai dieses Jahres drangen sie erfolgreich über den veralteten Router einer Filiale der PIR Bank in das Netzwerk der Bank ein.
"Der Kanal des Routers hat ein Problem, und der Angreifer kann direkt auf das lokale Netzwerk der Bank zugreifen." Die Sicherheitsexperten von Group-IB erklärten: "Bei diesem Angriff handelt es sich einfach um das MoneyTaker-Label, dieselbe Methode, die sie mindestens dreimal verwendet haben. . "
Mit dem Durchbruch des Routers gelang es Hackern, das lokale Netzwerk der Bank mit Malware zu infizieren und mit Hilfe von PowerShell-Skripten ihre sündhaften Aktivitäten auszuführen, ohne es zu wissen.
Nachdem die Penetration des Hauptnetzes der PIR-Bank abgeschlossen war, konnte MoneyTaker auch erfolgreich auf das AWS CBR-Konto der Bank zugreifen, um die Finanztransaktionen der Bank zu kontrollieren.
Am 3. Juli begann MoneyTaker, das System zu benutzen, um Geld zu überweisen: Sie übertrugen $ 92 Millionen von dem Bankkonto der PIR-Bank in der russischen Bank auf die vorher eröffneten 17 Konten.Das Geld wurde gerade fallen gelassen und die MoneyTaker-Leute sofort 4. Das Geld wurde in ganz Russland von Geldautomaten weggenommen, und die Effizienz war erstaunlich.
Einen Tag später entdeckten die Mitarbeiter der PIR Bank, dass der Kontostand der Bank geleert war und alles zu spät war.
Als MoneyTaker ein Verbrechen begeht, haben die an dem Angriff beteiligten Hacker normalerweise die Logs auf dem infizierten Computer geleert, um ihren Aufenthaltsort zu verbergen, aber dieses Mal hat Group-IB den Zugriff der Hacker auf den infizierten Computer entdeckt.
In diesem Jahr werden MoneyTaker und russische Banken stärker.
Es ist nicht das erste Mal, dass MoneyTaker russische Banken angegriffen hat, sie haben Anfang dieses Jahres ihre Hände bekommen, aber am Ende haben sie nicht ihre eigene "Siegessäule" errungen, laut Statistik der Gruppe-IB sind in diesem Jahr mindestens 3 in Russland passiert. Ähnliche Ereignisse, aber sie werden die Details nicht bis zum Ende der Untersuchung bekannt geben.Gruppe-IB glaubt, dass mindestens zwei davon von MoneyTaker gemacht werden.
Tatsächlich sind die Spuren von MoneyTaker schwer zu verfolgen, da sie die üblichen Betriebssystem-Tools verwenden, um bösartige Angriffe durchzuführen.Angriffe von spezialisierter Malware sind nicht ihre Art. Außerdem werden sie das Protokoll löschen, nachdem sie das Verbrechen begangen haben, und sie starten Vor dem Angriff werden das Netzwerk und das System der Opferbank im Detail studiert, um sich selbst und andere zu kennen, wird MoneyTaker sogar die Bankdokumente im Voraus stehlen, um sich gegenseitig zu verstehen.
In den drei Jahren seit MoneyTaker ein Militär wurde, wurden mindestens zehn Millionen Dollar von Banken gestohlen.Gruppe-IB sagte, dass, wenn MoneyTaker Verbrechen in den Vereinigten Staaten begeht, es jedes Mal durchschnittlich 500.000 Dollar kostet, und in Russland wird diese Zahl auf 120 steigen. Zehntausend Dollar.
Lei Feng fand heraus, dass MoneyTaker in den vergangenen drei Jahren 15 US-Banken, 1 US-Dienstleister, 1 britische Bankensoftware, 5 russische Banken und 1 russische Anwaltskanzlei geschwärzt hat.