avroraiwa (avroraiwa) wrote,
avroraiwa
avroraiwa

Category:

Из российского банка украли $1 млн через старый роутер

ПИР банк в результате хакерской атаки лишился $1 миллиона

ПИР банк в результате хакерской атаки лишился $1 миллиона

Хакеры взломали российский банк и вывели из него почти миллион долларов, используя давно устаревший роутер. Жертвой стала московская кредитная организация ПИР банк.


Старый роутер и денежные мулы

Российская компания Group-IB опубликовала результаты расследования инцидента в ПИР банке, в результате которого кредитная организация лишилась почти $1 млн. Атака была совершена еще в начале июля 2018 г. Тогда с корсчета ПИР банка в Банке России хакеры вывели около 58 млн руб., распределив их по счетам в 22 крупнейших банках с последующим оперативным обналичиванием украденного.

Из российского банка украли http://img12.txapela.ru/0/e/d/f/7/70d28754b430350e99e1f545d5d_prev.jpg млн через старый роутер

Эксперты Group-IB заявили, что за атакой стояли участники киберкриминальной группировки MoneyTaker, которые уже два года терроризируют банки в США и России.

Злоумышленникам удалось захватить контроль над старым, уязвимым роутером в одном из региональных подразделений банка и с его помощью смогли проникнуть в локальную сеть организации. Группировка Money Taker использовала этот метод уже как минимум трижды.

Просочившись во внутренние сети банка, хакеры с помощью вредоносных программ обеспечили себе там устойчивое присутствие. Им также удалось подключиться к автоматизированному рабочему месту клиента Банка России (АРМ КБР), тем самым получив возможность выводить деньги с корсчета ПИР банка.

Из российского банка украли http://img11.txapela.ru/b/a/e/8/7/9d37316fa87dc41878294fb6093.jpg млн через старый роутер

Следы замести не удалось

В ночь с 3 на 4 июля 2018 г. злоумышленники осуществили вывод средств. Спустя несколько часов они все уже были обналичены так называемыми денежными мулами в банкоматах по всей стране. Злоумышленники также успели очистить системные журналы ОС, журналы прикладных систем и удалить ряд системных файлов на множестве компьютеров ПИР-банка, — все для того, чтобы замести следы.

«Утром 4 июля, обнаружив многочисленные несанкционированные транзакции в общей сложности на несколько десятков миллионов рублей, сотрудники банка обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР, однако оперативно приостановить все финансовые переводы не удалось. Большая часть украденных средств была переведена на несколько десятков карт крупнейших банков России и сразу же обналичена сообщниками хакеров — мулами, привлекаемыми к финальному этапу вывода денег из банкоматов», — говорится в отчете Group-IB.

Несмотря на попытки преступников скрыть следы преступления, киберкриминалисты Group-IB смогли пошагово отследить все их действия и установить использованные инструменты.

Выяснилось также, что злоумышленники оставили на серверах ряд так называемых реверсшеллов (reverse shell), программ, которые подключались к серверам, контролируемым злоумышленниками, и ожидали новых команд. Очевидно, хакеры планировали вернуться «за добавкой». Но все эти программы были вычищены из сети банка.

Carbanak не виноват

Из российского банка украли http://img11.txapela.ru/0/6/5/4/2/6be8b153ccc87ef6791c64d88ae_prev.png млн через старый роутер

Примечательно, что ранее глава Сбербанка Герман Греф заявил, что атаку на ПИР банк совершила группировка Carbanak. Эксперты Group-IB опровергают эту информацию, но отмечают, что группа MoneyTaker ничуть не менее опасна и что, помимо денег, злоумышленников часто интересует документация о системах межбанковских платежей, которая затем используется для подготовки дальнейших атак.

«Совершенно очевидно, что мы имеем дело с международной группировкой, которая имеет достаточные ресурсы для проведения весьма масштабных операций, включающих найм “денежных мулов” по всему миру, — считает Дмитрий Гвоздев, генеральный директор компании “Информационные технологии будущего”. — Пока трудно сказать, действует ли группировка MoneyTaker, исходя из исключительно финансовых интересов, или, как это становится модным в последнее время, преследует также какие-то политические цели, но для жертв их атак это и не так важно.

Из российского банка украли http://img12.txapela.ru/5/2/8/3/3/4ee06dc71078cfc81c2579c9b47.jpg млн через старый роутер

Важнее — быть готовыми противостоять подобным атакам. От целевой атаки сложно защититься, но нужно хотя бы соблюдать правила гигиены информбезопасности — отслеживать собственный парк устройств и новости о выявленных в них уязвимостях, включая zeroday, и минимизировать количество возможных “точек входа” за счет своевременного обновления прошивок, создания патчей для маршрутизаторов и других устройств интернета вещей.





Subscribe
Buy for 20 tokens
Buy promo for minimal price.
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 13 comments