Российские банки и платежные системы стали жертвами организованной хакерской группировки, действующей с 2013 г. На сегодняшний день она похитила свыше i1 млрд.
Свыше 50 российских банков и 5 платежных систем были взломаны начиная с 2013 г. активной хакерской группировкой под названием Anunak, следует из отчета, опубликованного компаниями Group-IB и Fox-IT. В этот период мошенниками было похищено свыше i1 млрд, основная часть из которых — во второй половине 2014 г.
За один раз мошенники похищают примерно $2 млн. С момента взлома сети финансовой организации или платежной системы до хищения денег в среднем проходит 42 дня. В настоящее время, по данным Group-IB, Anunak продолжает действовать.
Первая успешная атака на финансовую организацию в России была проведена в январе 2013 г. с помощью двух программ: RDPdoor, которая позволила получить удаленный доступ к банковской сети, и MBR Eraser для сокрытия следов взлома компьютеров и серверов под управлением операционной системы Windows. В комплект инструментов также вошли легальные приложения для удаленного доступа Ammyy Admin и Team Viewer.
Позже хакеры отказались от RDPdoor и Team Viewer. А в 2014 г. мошенниками была завершена разработка трояна под названием Anunak. Он умел похищать логины и пароли для входа в Windows, вносить изменения в фаерволы и системные файлы Windows и выполнять функцию кейлоггера и делать скриншоты, отправляя их на сервер злоумышленников. При этом троян было сложно обнаружить, благодаря чему он мог находиться в корпоративной сети долгое время.
В дополнение к банковским и платежным системам хакеры получали доступ к почтовым серверам с целью наблюдения за внутренней перепиской. Это позволяло им узнавать, когда специалисты обнаруживали их вредоносную активность. Злоумышленники узнавали, какие шаги по устранению их активности компании предпринимали, и разрабатывали ответные меры. Взламывались серверы MS Exchange и Lotus.
Одним из методов заражения сетей была рассылка поддельных электронных писем от лица Центрального банка РФ с прикрепленным вложением, которое содержало вредоносный код. Он эксплуатировал некоторые из известных уязвимостей, например, CVE-2012-2539 (Microsoft Word) и CVE-2012-0158 (Microsoft Office, SQL Server).
Кроме того, хакеры пользовались помощью ботнетов, покупая у них списки IP-адресов зараженных систем. Если в этих списках оказывались ПК целевых организаций, злоумышленники осуществляли взлом этих компьютеров через ботнет.
Получив доступ ко внутренним сетям финансовых организаций, хакеры далее стремились получить контроль над банкоматами. Они научились менять номинал выдаваемых купюр — и при запросе, к примеру, 10 банкнот номиналом i100 машина выдавала i10 банкнот номиналом i5000. Согласно отчету, злоумышленниками были успешно взломаны свыше 52 банкоматов, а объем похищенных с их помощью средств превысил i50 млн.
Костяк группировки сформирован из граждан России и Украины. При этом они обращаются к исполнителям-фрилансерам, которые помогают им проникать в защищенные сети. Эти исполнители находятся в России, Украине и Беларуси. В отчете отмечается, что члены новой банды ранее работали на группировку Carberp, но после ареста ее основателей остались не удел.
Помимо финансовых организаций и платежных систем, хакеры Anunak осуществляют атаки на СМИ и розничные сети в Европе и США, а также на компьютерные сети промышленных и государственных организаций с целью промышленного шпионажа и получения инсайдерской информации, позволяющей выгодно играть на биржах.
источник