Russisk bank røvet via kompromitteret router

Illustration: Pagina/Bigstock
Hackergruppen MoneyTakers har haft held til at infiltrer og udnytte netværk på russiske PIR Bank, de stjal næsten en mio. amerikanske dollars og har haft held med lignende angreb tidligere.

En Russisk hackergruppe har slået til igen, 3. juli stjal de et beløb svarende til 910.000 amerikanske dollars fra russiske PIR Bank. Fem uger tidligere havde de skaffet sig adgang til bankens netværk via en router i en af bankens regionale afdelinger.

Det skriver Ars Technica

I en rapport har sikkerhedsfirmaet Group-IB analyseret forskellige cyberangreb på finansielle institutioner. Forskerne mener, at have fundet mønster af teknikker og værktøjer, som peger på, at det er én gruppe, der står bag over 20 angreb i Storbritannien, USA og Rusland.

MoneyTakers

Hackergruppen er navngivet af Group-IB, som formoder at MoneyTakers har stået bag over 20 angreb i Storbritannien, USA og Rusland, hvoraf 16 er mod mål i USA. Gruppen har formodentligt snuppet en sum svarende til omkring 14 mio. amerikanske dollars i alt.

De bruger adskillige gratis og lettilgængelige værktøjer som Microsoft’s PowerShell og diverse Visual Basic scripts. Derudover bruger de også skræddersyet malware, et af programmerne er kaldet MoneyTaker v5.0, hvorfra gruppens navn stammer.

deres Command and Control infrastruktur omfatter blandt andet en server kun sender til IP-adresser, der specifikt er udvalgt og tjekket af gruppens medlemmer. En af disse var en router i en af PIR Banks regionale afdelinger.

Knækket

PIR Bank blev hacket ved at en router blev infiltreret, derfra fik hackerne adgang til computere med forbindelse til bankens lokale netværk. De fik derigennem adgang til WS CBR (Automated Work Station klient for den Russiske Centralbank).

  1. Juli 2018 opdagede bankansatte store, uautoriserede overførsler. Størstedelen af pengene blev hurtigt overført til kreditkort fra de 17 største banker, og omgående trukket ud af hæveautomater. Det tyder på et koordineret netværk af kriminelle, hvis opgave var at befinde sig ved en hæveautomat, hæve fra de udvalgte kreditkort og transportere pengene videre.

Efterfølgende forsøgte MoneyTaker at rydde op efter sig selv, ved at slette logfiler fra mange af de inficerende computere. Desuden efterlod de "reverse shell"-programmer som tillod MoneyTakers servere igen at få kontrol over netwærket. Disse blev fjernet af Group-IB

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere