Lei Feng.com องค์กร MoneyTaker แฮ็กเกอร์ชื่อดังที่ใหญ่โตจริงๆพวกเขาได้ขโมยเงินจากธนาคารแห่งประเทศต่อสู้มา 1 ล้านเหรียญและการละเมิดคือเราเตอร์ล้าสมัย
การโจมตีดังกล่าวเกิดขึ้นกับธนาคาร PIR ซึ่งสูญหายไปอย่างน้อย 920,000 ดอลลาร์เงินดังกล่าวเดิมอยู่ในบัญชีที่สอดคล้องกันของธนาคารรัสเซีย
ขณะนี้ บริษัท เครือข่ายความปลอดภัยรัสเซีย Group-IB รับผิดชอบการตรวจสอบเหตุการณ์การแฮ็ก หลังจากตรวจสอบเวิร์กสเตชันและเซิร์ฟเวอร์ที่ติดไวรัสของ PIR Bank พวกเขาได้ข้อสรุปว่า MoneyTaker อยู่เบื้องหลังและพวกเขาไม่สามารถแกะรอยร่องรอยของพวกเขาหลังจากการโจมตีได้
Group-IB มีความคุ้นเคยกับกลยุทธ์ของ MoneyTaker เนื่องจากในเดือนธันวาคมปีที่แล้วพวกเขาดึงหน้ากากของ MoneyTaker ผ่านทางรายงาน
นอกจากนี้ในการลงคะแนนเสียง PIR ธนาคารนี้ MoneyTaker ในสหรัฐอเมริกา, สหราชอาณาจักรธนาคารและสถาบันการเงินได้กรณีที่สามารถสืบย้อนกลับ 2016 กลุ่ม IB สังเกต MoneyTaker ในการโจมตีของธนาคารและสถาบันการเงินส่วนใหญ่มุ่งเน้นการรุกของสินเชื่อที่ธนาคารและระบบการประมวลผลบัตรอาจจะเป็นโชคร้ายที่สุดลูกค้าเวิร์กสเตชันอัตโนมัติข้อมูลแรก STAR เครือข่ายและธนาคารกลางของรัสเซีย (AWS CBR) สิ้นสุดระบบ
พวงของแฮกเกอร์เป็นเพียงการควบคุมการไหลของอาจารย์
กลุ่ม IB พบ MoneyTaker นี้เคล็ดลับปลายเดือนพฤษภาคมปีนี้ที่ประสบความสำเร็จของพวกเขาในธนาคารของการเจาะเครือข่ายเราเตอร์ที่ล้าสมัยโดยสาขาของธนาคาร PIR
"ช่องของเราเตอร์มีปัญหาทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายท้องถิ่นของธนาคารได้โดยตรง" ผู้เชี่ยวชาญด้านความปลอดภัยของ Group-IB กล่าว "การโจมตีครั้งนี้เป็นเพียงป้าย MoneyTaker ซึ่งเป็นวิธีเดียวกับที่พวกเขาใช้มาอย่างน้อยสามครั้ง '
แฮกเกอร์ประสบความสำเร็จในการติดไวรัสเครือข่ายท้องถิ่นของธนาคารด้วยมัลแวร์จากนั้นด้วยความช่วยเหลือของสคริปต์ PowerShell พวกเขาสามารถทำกิจกรรมบาปได้โดยไม่รู้ตัว
หลังจากเสร็จสิ้นการเจาะระบบเครือข่ายหลักของธนาคาร PIR แล้ว MoneyTaker ก็ประสบความสำเร็จในการเข้าถึงบัญชี AWS CBR ของธนาคารเพื่อควบคุมธุรกรรมทางการเงินของธนาคาร
เมื่อวันที่ 3 กรกฎาคม MoneyTaker เริ่มใช้ระบบนี้เพื่อโอนเงินพวกเขาได้โอนเงินจำนวน 92 ล้านเหรียญจากบัญชี PIR Bank ในธนาคารรัสเซียไปยังบัญชี 17 บัญชีก่อนเปิดบัญชีเงินดังกล่าวเพิ่งถูกลดหย่อนและคน MoneyTaker ทันที 4. เงินถูกนำออกจากเครื่องเอทีเอ็มทั่วรัสเซียและประสิทธิภาพก็น่าตกใจ
วันหนึ่งพนักงานของ PIR Bank พบว่าบัญชีของธนาคารหมดอายุแล้วและทุกอย่างก็สายเกินไป
เมื่อ MoneyTaker กระทำความผิดแฮกเกอร์ที่มีส่วนเกี่ยวข้องในการโจมตีมักจะล้างข้อมูลล็อกในคอมพิวเตอร์ที่ติดไวรัสเพื่อซ่อนที่อยู่ของตนอย่างไรก็ตามในครั้งนี้ Group-IB พบว่าแฮกเกอร์เข้าถึงคอมพิวเตอร์ที่ติดไวรัส
ในปีนี้ MoneyTaker และธนาคารรัสเซียเริ่มแข็งแกร่งขึ้น
นี่ไม่ใช่ครั้งแรกที่ MoneyTaker ได้โจมตีธนาคารรัสเซียพวกเขาได้รับมือกับพวกเขาในช่วงต้นปีนี้ แต่ในท้ายที่สุดพวกเขาล้มเหลวในการใช้ผลชัยชนะของตนเองตามข้อมูลสถิติของกลุ่ม IB อย่างน้อย 3 แห่งได้เกิดขึ้นในรัสเซียในปีนี้ เหตุการณ์ที่คล้ายกัน แต่พวกเขาจะไม่ประกาศรายละเอียดจนกว่าจะสิ้นสุดการตรวจสอบ Group-IB เชื่อว่าอย่างน้อยสองแห่งทำโดย MoneyTaker
ในความเป็นจริงเส้นทาง MoneyTaker เป็นเรื่องยากที่จะติดตามเพราะพวกเขาต้องการใช้เครื่องมือระบบปฏิบัติการทั่วไปในการโจมตีที่เป็นอันตรายการโจมตีโดยมัลแวร์เฉพาะไม่ใช่ลักษณะของพวกเขานอกจากนี้พวกเขาจะล้างข้อมูลบันทึกหลังจากกระทำความผิดและพวกเขาจะเปิดตัว ก่อนการโจมตีเครือข่ายและระบบของธนาคารผู้เสียชีวิตจะได้รับการศึกษาในรายละเอียดเพื่อที่จะรู้จักตัวเราเองและคนอื่น ๆ MoneyTaker จะขโมยเอกสารของธนาคารก่อนที่จะเข้าใจซึ่งกันและกัน
ในช่วงสามปีที่ผ่านมา MoneyTaker กลายเป็นทหารอย่างน้อยหลายสิบล้านเหรียญได้ถูกขโมยไปจากธนาคารกลุ่ม IB กล่าวว่าเมื่อ MoneyTaker กระทำความผิดในสหรัฐฯ หมื่นเหรียญ
Lei Feng พบว่าในช่วง 3 ปีที่ผ่านมา MoneyTaker ได้ทำให้ธนาคารอเมริกัน 15 แห่งในสหรัฐเป็นผู้ให้บริการ 1 ราย บริษัท ในเครือของอังกฤษ 1 แห่งธนาคารรัสเซีย 5 แห่งและ บริษัท กฎหมายของรัสเซีย 1 แห่ง
