Российские специалисты рассказали об успешно проведенном расследовании кражи миллионов рублей из банкоматов
Компания Positive Technologies представила отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации из Восточной Европы были похищены более двух миллионов рублей (эквивалент в местной валюте).
Эксперты Positive Technologies в начале октября 2016 года получили сообщение от одного из банков Восточной Европы — за одну ночь из шести банкоматов банка были похищены денежные средства в размере, эквивалентном 2,21 миллиона российским рублям в местной валюте. Теоретически, в случае более продолжительной атаки нарушители могли бы похитить более 10 миллионов в рублевом эквиваленте в течение нескольких дней, а размер хищений ограничивался бы лишь возможностями выдачи купюр в банкомате и количеством скомпрометированных устройств.
Чтобы получить наличные из банкоматов использовались подставные лица («дропы»). Один из таких «дропов», гражданин Молдавии, был задержан с поличным правоохранительными органами при выемке банкнот. Эти наемники привлекаются преступными группами для того, чтобы минимизировать риски раскрытия основного состава организаторов в случае, если дроп будет пойман. Наемники не знакомы с ядром группы и действуют исключительно под командой кураторов, отвечающих за сбор наличных и доставку денег организаторам атак.
[box]Информация о деятельности группы, именуемой Cobalt, появилась совсем недавно: в ноябре 2016 года был выпущен отчет компании Group-IB. В нем деятельность Cobalt связывают в первую очередь с известной ранее кампанией Buhtrap. Именно эта группа, предположительно, стоит за хищением более 1,8 млрд рублей со счетов российских банков в 2015—2016 гг. Предполагается также, что часть участников группы перешли в Cobalt, либо вовсе костяк Buhtrap переключил свое внимание на банкоматы. [/box]
Хакеры из Cobalt используют так называемые сервисы money mule для обналичивания денег. Подобные сервисы завлекают отчаявшихся людей легким заработком, сообщает. В Интернете можно найти множество таких сервисов. Вот, например, несколько скриншотов:
Расследование инцидента показало, что получение денежных средств стало возможно благодаря компрометации локальной вычислительной сети и распространению вредоносного программного обеспечения (ВПО) на банкоматы со стороны внутренней инфраструктуры банка в течение августа-сентября 2016 года. На банкоматах использовалось специализированное ВПО, которое по команде злоумышленника выдавало денежные средства из банкомата дропу. При этом со стороны дропа никаких манипуляций в отношении банкомата не требовалось.
Начало атаки пришлось на первую неделю августа. Исходный вектор заражения инфраструктуры основывался на запуске файла documents.exe, RAR-архив с которым был получен по электронной почте одним из сотрудников. В день получения фишингового письма могла быть скомпрометирована вся инфраструктура банка, если бы он не пришелся на дату, когда этот сотрудник уходил в отпуск.
Расследование показало, что запуск файла из фишинговых писем в разное время осуществили несколько сотрудников, что говорит о низком уровне осведомленности работников банка в вопросах информационной безопасности.
После закрепления в инфраструктуре Cobalt действовала без спешки, возобновив активность лишь в последних числах августа. Именно на это время пришлись основные действия по распространению атаки внутри сети. Были скомпрометированы рабочие станции ключевых сотрудников, критически важные серверы, в том числе терминальный сервер и контроллер домена. Кроме того, злоумышленники получили пароли практически всех пользователей компании, включая учетные записи администраторов, что позволило беспрепятственно перемещаться внутри сети.
Избежать более крупных потерь банку помогла случайность: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, из-за чего злоумышленникам не удалось выполнить свои задачи по выводу денег полностью.
Читать также: «Киберпреступники за год украли у Сбербанка более миллиарда рублей — СМИ»>>
Опубликованные результаты расследования, проведенного экспертами Positive Technologies, позволяют отметить несколько нюансов, характерных для современных кибератак на финансовые организации:
1. Злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. В данном случае использовалось коммерческое ПО Cobalt Strike, включающее многофункциональный троян Beacon класса RAT (Remote Access Trojan), обладающий широкими возможностями по удаленному управлению системами. Также были использованы программа Ammyy Admin, приложения Mimikatz, PsExec, SoftPerfect Network Scanner и Team Viewer.
2. Использование фишинговых рассылок остается одним из успешных векторов атаки в силу недостаточного уровня осведомленности работников в вопросах ИБ. Вектор заражения инфраструктуры банка основывался на запуске файла documents.exe из RAR-архива, присланного по электронной почте одному из сотрудников и содержащего вредоносное ПО. Целенаправленная рассылка электронных писем, имитировавших финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время осуществили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них.
3. Таргетированные атаки становятся все более организованными и распределенными во времени. Расследование показало, что старт атаки пришелся на первую неделю августа. В начале сентября (после закрепления в инфраструктуре) начались атаки с целью выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и осуществили кражу денежных средств: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.
В ходе расследования инцидента экспертами Positive Technologies было собрано множество хостовых и сетевых индикаторов компрометации, которые были направлены в FinCERT Банка России с целью распространения данной информации среди финансовых организаций и предотвращения подобных атак в будущем.
См. также «Сбербанк ежедневно спасает от киберпреступников десятки миллионов рублей» >>
[box]Организованные преступники, разрабатывающие технологии нападения на банкоматы, обладают полными сведениями об их устройстве, программном обеспечении и даже настройках IT-систем, принятых в конкретном банке. Так, например, кибервзломщики недавно воспользовались тем обстоятельством, что в банкоматах одного из российских банков не были отключены USB-порты, сообщил D-Russia.ru компетентный источник.
Среди участников преступных сообществ, по всей видимости, есть либо инсайдеры, либо бывшие сотрудники IT-подразделений кредитных организаций. В планировании преступлений участвуют и юристы. Так, в случае со взломом банкоматов через USB-порт не получилось осудить взломщиков. Один из них сверлил отверстие в корпусе банкомата, другой подключался к USB-порту, третий использовал подключение для взлома. За каждое из этих действий закон предусматривает неадекватную ответственность – как, например, за порчу имущества, а не за хищение денег. [/box]