Ruski hakeri ukrali 25 miliona dolara od banaka i sa bankomata

Vesti, 23.12.2014, 00:06 AM

Grupa sajber kriminalaca ukrala je više od 25 miliona dolara hakujući infrastrukturu brojnih finansijskih institucija u Rusiji i državama bivšeg SSSR-a, kao i POS (point-of-sale) sisteme u američkim i evropskim trgovinama.

Istraživači ruske firme Group-IB i holandske firme Fox-IT nazvali su ovu grupu Anunak, po glavnom malicioznom programu iz arsenala malicioznih alata koje je grupa do sada koristila.

Ciljevi operacija sajber kriminalaca obično su korisnici banaka, ali grupa Anunak je napadala same finansijske institucije, kompromitujući njihove interne mreže, radne stanice i servere. Taj pristup im je omogućavao da prebacuju novac na račune koji su bili pod kontrolom članova grupe, a u nekim slučajevima ova grupa je čak kompromitovala bankomate, sa kojih je zatim podizala novac.

“Od 2013 oni su uspeli da dobiju pristup mrežama više od 50 ruskih banaka i 5 platnih sistema, a dve od ovih institucija ostale su bez licence za obavljanje bankarskih poslova”, kaže se u izveštaju (pdf) koji je objavila firma Group-IB u ponedeljak. ”Do danas je ukupno ukradeno više od milion rubalja (oko 25 miliona dolara), a veći deo toga je ukraden u drugoj polovini 2014.”.

Grupa Anunak je započinjala svoje napade infekcijom računara zaposlenih da bi zatim dospela unutar mreže. Prosečno vreme koje bi proteklo od trenutka kada bi grupa dobila pristup internoj mreži do krađe novca je 42 dana. Grupa je koristila mrežne skenere, keyloggere, password crackere, SSH backdoorove, programe za daljinsku kontrolu a često i Metasploit framework za penetracijsko testiranje.

Ipak, glavni alat grupe je kompjuterski trojanac nazvan Anunak, čiji je kod baziran na malveru Carberp koji je dizajniran za krađu online bankarskih kredenicijala, a čiji je se kod pojavio na internetu u junu prošle godine. Istraživači veruju da su neki članovi grupe Anunak ranije bili pripadnici bande Carberp koja se raspala prošle godine zbog sukoba unutar grupe.

Napadači su koristili nekoliko metoda za infekciju računara ovim trojancem. To je uključivalo drive-by download napade pomoću exploit paketa. Veruje se da je grupa prošle godine ubacila maliciozni kod u sajt php.net da bi inficirala računare posetilaca sajta. Osim toga, napadači su koristili i emailove koji su sadržali maliciozne fajlove, a koji su izgledali tako kao da ih šalje Centralna banka Rusije. Malver je instaliran i pomoću drugih malicioznih programa a na osnovu takozvanih “plaćanje-po-instalaciji” dogovora.

“Kriminalna grupa je u kontaktu sa nekoliko vlasnika velikih bot mreža koje distribuiraju njihov malver masovno”, kažu istraživači. “Napadači kupuju od vlasnika bot mreža informacije o IP adresama računara na kojima vlasnici bot mreža imaju instalirane malvere i zatim proveravaju da li te IP adrese pripadaju finansijskim i državnim institucijama. Ako je to slučaj, napadači plaćaju vlasnicima bot mreža za instalaciju svojih malvera.”

Od aprila ove godine, Anunak je započeo napade na maloprodaje u SAD, Australiji i Evropi sa ciljem infekcije POS terminala malverima koji mogu da kradu podatke o platnim karticama tokom transakcija. Istraživači kažu da je grupa napala najmanje 16 takvih firmi, od kojih su 12 u SAD. Krađa informacija o kreditnim karticama je potvrđena u tri slučaja. Grupa je takođe kompromitovala kompjutere u tri američke PR i medijske organizacije, verovatno sa ciljem da stekne prednosti u trgovanju na berzi.

Istraživači kažu da nemaju dokaz da je grupa napadala banke u Evropi i SAD, ali da bi trebalo imati na umu da bi se metode napadača takođe mogle koristiti i protiv banaka izvan Rusije.

Grupa Anunak je još uvek aktivna. Aktivnosti grupe pokazuju da postoji siva zona između APT (advanced persistent threat) i bot mreža, te da pragmatičan pristup koji imaju ovi kriminalci može da označi početak novog poglavlja u ekosistemu sajber kriminala. Group-IB i Fox-IT predviđaju da će se za napade ove grupe tek čuti u 2015.