آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

میلیون‌ها دلار از بانک‌های ایالات متحده و روسیه توسط یک گروه هکری سرقت شد

عنوانمیلیون‌ها دلار از بانک‌های ایالات متحده و روسیه توسط یک گروه هکری سرقت شد
گروه اصلیOther
شرح خبر

محققان امنیتی کشف کردند که گروهی از هکرهای روسی زبان، که پیش‌تر شناسایی نشده بودند، بانک‌ها، مؤسسات مالی و شرکت‌های حقوقی که عمدتاً در ایالات متحده، انگلستان و روسیه هستند را هدف قرار داده‌اند.

یک شرکت امنیتی مستقر در مسکو، با عنوان گروه IB، گزارشی 36 صفحه‌ای منتشر کرد که جزئیاتی در رابطه با گروه هک اخیراً شناسایی شده با عنوان MoneyTaker ارائه داده است. این گروه هک، فعالیت‌های خود را حداقل از ماه می سال 2016 آغاز کردند.

اعتقاد بر این است که طی 18 ماه گذشته، این گروه هک بیش از 20 حمله علیه سازمان‌های مالی مختلف انجام داده و بیش از 11 میلیون دلار پول و همچنین اطلاعاتی برای استفاده در حملات بعدی، سرقت کرده‌است.

این گروه عمدتاً سیستم‌های پردازش کارت، از جمله AWS CBR  (سیستم درون‌بانکی روسیه) و سرویس پیام‌رسان بانکی بین المللی SWIFT (در ایالات متحده) را هدف قرار می‌دهد.

گروه IB در گزارش خود قید کرد: «مجرمین، اسناد و مدارکی برای سیستم پردازش کارت OceanSystems’ FedLink سرقت کرده‌اند، که این سیستم توسط 200 بانک در آمریکای لاتین و ایالات متحده استفاده می‌شود.»

گروه IB هشدار داد: حملات MoneyTaker علیه سازمان‌های مالی همچنان ادامه دارد و این احتمال وجود دارد که بانک‌های آمریکای لاتین، اهداف بعدی باشند.

MoneyTaker: یک سال و نیم عملیات خاموش

از زمان اولین حمله موفق آن‌ها در ماه می سال گذشته، MoneyTaker بانک‌هایی در کالیفورنیا، ایلینویز، یوتاه، اوکلاهاما، کلورادو، کارولینای جنوبی، میزوری، کارولینای شمالی، ویرجینیا و فلوریدا را هدف قرار داده، که اغلب آن‌ها بانک‌هایی کوچک بوده و دفاع سایبری ضعیفی داشتند.

حتی پس از تعداد زیادی حمله علیه اهداف گوناگون، گروه MoneyTaker توانست فعالیت‌های خود را با استفاده از تست‌های نفوذ عمومی و ابزارهای هک از جمله Metasploit، NirCmd، psexec، Mimikatz، Powershell Empire و کد ارائه شده در کنفرانس هک روسیه در سال 2016، مخفی و ناشناخته نگه دارد. به گفته گروه IB، «این گروه هک برای انتشار در شبکه، از ابزار قانونی psexec، که معمولاً مخصوص مدیران شبکه است، استفاده کرده‌است.»

علاوه بر استفاده از ابزارهای متن‌باز، این گروه به‌شدت از تروجان‌های بانکی Citadel و Kronos استفاده کرده، تا یک بدافزار POS (Point-of-Sale) با عنوان ScanPOS ایجاد کند.

ScanPOS به محض اجرا، اطلاعات فرآیندهای جاری در حال اجرا و همچنین نام کاربر و امتیازات سیستم آلوده را جمع‌آوری می‌کند. این بدین معنا است که ScanPOS عمدتاً طراحی شده تا حافظه فرآیندها را تخلیه کرده و داده‌های ردیابی کارت‌های اعتباری را جستجو کند. تروجان، کلیه داده‌های جمع‌آوری شده را با استفاده از الگوریتم اعتبارسنجی Luhn بررسی می‌کند و سپس آن را به سرویس‌دهنده C&C ارسال می‌کند.»

«این گروه از بدافزار فاقد فایل که تنها در RAM موجود است و پس از راه‌اندازی مجدد سیستم نابود می‌شود، استفاده می‌کند. برای اطمینان از ماندگاری در سیستم، MoneyTaKer به اسکریپت‌های VBS و PowerShell متکی است. شناسایی هر دو این اسکریپت‌ها توسط آنتی‌ویروس دشوار بوده و تغییر آن‌ها ساده است. در بعضی موارد، حین حمله، آن‌ها تغییراتی در کد منبع در حال اجرا ایجاد می‌کنند.»

«برای افزایش دسترسی تا سطح مدیر محلی (یا کاربر محلی سیستم)، مهاجمین از ماژول‌های سوءاستفاده بسته Metasploit استاندارد یا سوءاستفاده‌های طراحی‌شده برای دور زدن فناوری UAC استفاده می‌کنند. با امتیازات مدیر محلی، آن‌ها می‌توانند از برنامه Mimikatz، که با بهره‌گیری از Meterpreter در حافظه بارگزاری شده، استفاده کنند، تا اعتبارات ویندوزی رمزنگاری‌نشده را استخراج کنند.»

به‌علاوه گروه MoneyTaker از گواهی‌های SSL ایجادشده با استفاده از نام برندهای مطرح – از جمله
 
Bank of America، Microsoft، Yahoo  و Federal Reserve Bank - استفاده می‌کند، تا ترافیک مخرب خود را پنهان کند.

همچنین، این گروه هک، سرویس‌دهنده‌های خود را به‌گونه‌ای پیکربندی می‌کند که داده‌های پیام (payloads) مخرب، تنها به لیست از پیش تعیین‌شده آدرس‌های IP شرکت هدف، تحویل داده شوند. به‌علاوه، برای اطمینان از ماندگاری در سیستم هدف، به اسکریپت‌های VBS و PowerShell وابسته است.

اولین حمله‌ای که گروه IB به MoneyTaker نسبت داده، در ماه می سال 2016 اتفاق افتاده است، هنگامی که این گروه هک موفق به دسترسی به  First Data's STAR – بزرگترین سیستم پیام‌رسانی نقل و انتقالات بانکی ایالات متحده، که خودپردازهای بیش از 5000 سازمان را به هم متصل می‌کند – شده و پول سرقت کرده است.

در ژانویه 2017، حمله مشابهی علیه یک بانک دیگر تکرار شده است.

از نظر گروه IB حمله به این شکل کار می‌کند: «نقشه بسیار ساده است. پس از به‌دست گرفتن کنترل شبکه بانکی، مهاجمان بررسی می‌کنند که آیا می‌توانند به سیستم پردازش کارت متصل شوند یا نه. پس از آن، هکرها به صورت قانونی، کارت‌های بانکی را که سیستم اطلاعات آن هک شده، آزاد کرده یا خریداری می‌کنند.»

«واسطه‌‌های پول (money mules) – مجرمانی که پول را از دستگاه‌های خودپرداز خارج می‌کنند، با کارت‌های فعال‌شده قبلی از کشور خارج شده و منتظر شروع عملیات می‌مانند. پس از ورود به سیستم پردازش کارت، مهاجمین محدودیت‌های برداشت پول نقد کارت‌هایی که در دست واسطه‌ها است را حذف کرده یا افزایش می‌دهند.»

سپس، واسطه‌های پول، محدودیت‌های بازپرداخت را حذف می‌کنند، که به آن‌ها این امکان را می‌دهد تا حتی با کارت‌های اعتباری، بیش از میزان اعتبار، پول حواله کنند. با استفاده از این کارت‌ها، آن‌ها از خودپردازها پول برداشت می‌کنند.

بر مبنای گزارش، متوسط پول سرقت شده از بانک‌های ایالات متحده توسط گروه MoneyTaker، 500000$ بوده و بیش از 3000000$ نیز،  از حداقل سه بانک در روسیه، سرقت شده است.

این گزارش همچنین به شرح جزئیات حمله‌ای علیه یک بانک در روسیه می‌پردازد، که در آن گروه MoneyTaker از یک برنامه بدافزار پیمانه‌ای، برای هدف قرار دادن AWS CBR (Automated Work Station Client of the Russian Central Bank) استفاده کرده است – یک سیستم نقل و انتقال درون بانکی در روسیه، مشابه با SWIFT .

این ابزار پیمانه‌ای، قابلیت جستجوی ترتیب پرداخت‌ها و تغییر آن را دارد و از این طریق جزئیات پرداخت‌های واقعی را با نمونه‌های جعلی جایگزین می‌کند و پس از انجام این عملیات، رد پای بدافزار را به‌دقت پاک می‌کند.

اگرچه هنوز مشخص نیست MoneyTaker چگونه توانسته جای ثابتی درشبکه شرکت پیدا کند، در یک مورد خاص، نقطه ورود به شبکه داخلی بانک، کامپیوتر خانگی مدیر سیستم بانکی بوده است.

گروه IB معتقد است، در حال حاضر هکرها به دنبال راهی برای ورود به سیستم ارتباطات درون‌بانکی SWIFT هستند، هرچند، در حال حاضر، هیچ‌گونه شواهدی مبنی بر این‌که MoneyTaker پشت حملات سایبری اخیر سیستم SWIFT بوده، وجود ندارد.

آدرس اینترنتی خبرhttps://thehackernews.com/2017/12/bank-hackers.html
تاریخ درج خبر1396-09-28
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست