Хакеры взломали российский банк и вывели из него почти миллион долларов, используя давно устаревший роутер. Жертвой стала московская кредитная организация ПИР банк.
Старый роутер и денежные мулы
Российская компания Group-IB опубликовала результаты расследования инцидента в ПИР банке, в результате которого кредитная организация лишилась почти $1 млн. Атака была совершена еще в начале июля 2018 г. Тогда с корсчета ПИР банка в Банке России хакеры вывели около 58 млн руб., распределив их по счетам в 22 крупнейших банках с последующим оперативным обналичиванием украденного.
Эксперты Group-IB заявили, что за атакой стояли участники киберкриминальной группировки MoneyTaker, которые уже два года терроризируют банки в США и России.
Злоумышленникам удалось захватить контроль над старым, уязвимым роутером в одном из региональных подразделений банка и с его помощью смогли проникнуть в локальную сеть организации. Группировка Money Taker использовала этот метод уже как минимум трижды.
Просочившись во внутренние сети банка, хакеры с помощью вредоносных программ обеспечили себе там устойчивое присутствие. Им также удалось подключиться к автоматизированному рабочему месту клиента Банка России (АРМ КБР), тем самым получив возможность выводить деньги с корсчета ПИР банка.
Следы замести не удалось
В ночь с 3 на 4 июля 2018 г. злоумышленники осуществили вывод средств. Спустя несколько часов они все уже были обналичены так называемыми денежными мулами в банкоматах по всей стране. Злоумышленники также успели очистить системные журналы ОС, журналы прикладных систем и удалить ряд системных файлов на множестве компьютеров ПИР-банка, — все для того, чтобы замести следы.
«Утром 4 июля, обнаружив многочисленные несанкционированные транзакции в общей сложности на несколько десятков миллионов рублей, сотрудники банка обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР, однако оперативно приостановить все финансовые переводы не удалось. Большая часть украденных средств была переведена на несколько десятков карт крупнейших банков России и сразу же обналичена сообщниками хакеров — мулами, привлекаемыми к финальному этапу вывода денег из банкоматов», — говорится в отчете Group-IB.
Несмотря на попытки преступников скрыть следы преступления, киберкриминалисты Group-IB смогли пошагово отследить все их действия и установить использованные инструменты.
Выяснилось также, что злоумышленники оставили на серверах ряд так называемых реверсшеллов (reverse shell), программ, которые подключались к серверам, контролируемым злоумышленниками, и ожидали новых команд. Очевидно, хакеры планировали вернуться «за добавкой». Но все эти программы были вычищены из сети банка.
Источник