Вот уже полтора года хакерская группировка MoneyTaker успешно атакует банки по всему миру. Об этом стало известно из недавнего исследования Group-IB, опубликованного на сайте компании. Названия пострадавших банков Group-IB держит в секрете.
Первая атака была совершена еще в мае прошлого года. Тогда под удар попал один из американских банков. Злоумышленники получили доступ к системе обработки данных. Пик активности группировки пришелся на осень 2016-го и весну 2017 года: были атакованы еще несколько десятков банков, в частности в России, США и Великобритании.
В Group-IB отметили, что деятельность хакеров в России началась с проникновения на ПК сотрудника одной из финансовых организаций. Тогда группировка получила доступ к системе межбанковских переводов АРМ КБР.
Всего за полтора года было атаковано 20 банков, 16 из них — в США. Хакеры украли порядка полумиллиона долларов со счетов в иностранных банках и более 76 миллионов рублей — в российских.
Изначально специалисты считали, что действовали три группировки. Однако в ходе анализа полученных данных они пришли к выводу, что все атаки — дело рук одних и тех же людей. Во-первых, целью хакеров всегда были корпоративные сети, вся деловая почта перенаправлялась в частные ящики на Yandex и Mail. Во-вторых, киберпреступники использовали уникальные инструменты и схожие методы зачистки следов.
По мнению специалистов, родиной хакеров может быть одна из стран Латинской Америки. Александр Калинин, руководитель Центра реагирования на инциденты информационной безопасности Group-IB, сообщил: «Исходя из названий компонентов кода на португальском языке, наши коллеги из департамента киберразведки предположили авторство латинского программиста. Также это может говорить о том, что код основан на исходниках португальской программы».
При этом нельзя исключать и российский след. В Group-IB отметили, что для хищения средств со счетов в российских банках необходим русскоговорящий специалист. Это связано со сложностью языка в целом и терминологии в частности. Кроме того, деньги необходимо отмыть, и для этого нужны проверенные люди. А доверительные отношения можно выстроить, лишь говоря на одном языке.
Как бы то ни было, расследование ведут правоохранительные органы нескольких стран. В пресс-службе Group-IB сообщили, что все собранные ими данные уже переданы в Интерпол, ФБР и ФСБ.
По мнению руководителя аналитического центра компании Zecurion Владимира Ульянова, шумиха вокруг деятельности группировки MoneyTaker вряд ли заставит ее уйти в тень.
«Конечно, сейчас активно совмещают способы, используют социальную инженерию (когда втираются в доверие к пользователям), но на протяжении нескольких последних лет я не припоминаю, чтобы появлялось что-то принципиально новое. К тому же не все организации оперативно реагируют на подобного рода опасности. Яркий пример — бум шифровальщиков WannaCRY и Petya. Казалось бы, чего проще — установи ПО, но зачастую люди пренебрегают этим», — добавил эксперт.
При этом следующими жертвами, скорее всего, станут банки Латинской Америки. Именно они активно пользуются программой FedLink, компоненты которой содержатся в документации, похищенной хакерами.