セキュリティ研究者らが、マネーテイカーと呼ばれるロシア語を話すサイバー犯罪者集団の存在を明らかにした。
ロシアのインシデント対応会社Group-IBによると、このグループは過去2ヶ月間で、米国、英国、ロシアの金融機関や法律事務所に対し20件以上の攻撃を成功させている。MoneyTakerは主にAWS CBR(ロシア銀行間システム)やSWIFT(米国)などのカード処理システムを標的としている。
マネーテイカーは銀行に加え、法律事務所や金融ソフトウェアベンダーも攻撃対象としています。Group-IBは、マネーテイカーの被害を受けた企業を合計20社確認しており、そのうち16件は米国企業、3件はロシアの銀行、1件は英国のIT企業です。
ウイルス対策ソフトや従来のセキュリティ対策を回避するためにツールと戦術を絶えず変更し、そして何よりも重要なのは、活動完了後に痕跡を慎重に消去することで、このグループはほぼ気付かれずに活動を続けてきたことだ。「MoneyTakerは公開されているツールを使用しているため、犯人特定と捜査のプロセスは容易ではない」と、Group-IBの共同創設者兼インテリジェンス責任者であるドミトリー・ボルコフ氏は述べた。「さらに、インシデントは世界中のさまざまな地域で発生しており、標的となった米国の銀行のうち少なくとも1行は、ネットワークから文書を2度も持ち出すことに成功している。」
Group-IBがこのグループによるものとしている米国での最初の攻撃は、2016年春に発生しました。First Dataのネットワークオペレーターポータル「STAR」へのアクセスによって銀行から資金が盗まれました。2016年には、Group-IBはMoneyTakerによる攻撃を10件特定しました。内訳は、米国の銀行が6件、米国のサービスプロバイダーが1件、英国の金融ソフトウェア提供会社が1件、ロシアの銀行が2件です。2017年も攻撃件数は変わらず、米国の銀行8行、法律事務所1社、ロシアの銀行1行が標的となりました。ただし、標的地域は米国とロシアのみに絞られています。
Group-IBは、20件の攻撃において、使用されたツールだけでなく、分散型インフラや、侵入した組織からデータを抜き出すために使用された情報漏洩戦術にも共通点があることを特定した。「このグループのもう一つの特徴は、攻撃後も活動を続け、影響を受けた複数の銀行をスパイし続け、企業のメールやその他の文書をYandexやMail.ruの無料メールサービスに送信していることです」とGroup-IBは付け加えた。
同社によれば、マネーテイカーによる銀行ATMカードへの攻撃には一定のパターンがあるという。
MoneyTaker は、商用ツール (Metasploit ペンテスト ツールなど)、サイバー犯罪の地下組織、独自に作成したツールを組み合わせて使用します。
MoneyTakerのツールキット [出典: Group-IB]
MoneyTakerのハッキングキットには、2016年にロシアで開催されたサイバーセキュリティカンファレンス「ZeroNights」で発表されたコードからコンパイルされた権限昇格ツールが含まれていました。一部のインシデントでは、悪名高いバンキング型トロイの木馬「Citadel」と「Kronos」が使用されました。Kronosは、ScanPOSと呼ばれるPOS(販売時点情報管理)マルウェアの拡散に使用されました。
AWS CBRを介したロシアの銀行への攻撃において、ハッカーはMoneyTaker v5.0と呼ばれるツールを使用しました。このツールは、ハッカー集団の名称の由来となっています。このモジュール型プログラムの各コンポーネントは、特定のアクションを実行します。具体的には、支払指図を検索して変更し、元の支払情報を不正な情報に置き換えてから、変更の痕跡を消去します。
感染後、グループは通常、マルウェアの痕跡を消去します。しかし、ロシアで発生したインシデントを調査した際、Group-IBは最初の侵入ポイントを発見しました。ハッカーはシステム管理者の自宅のコンピュータにアクセスし、内部ネットワークに侵入したのです。
攻撃に関連して流出した文書には、管理者ガイド、社内規則および指示書、変更申請フォーム、取引ログなどが含まれます。SWIFTを通じた送金方法を説明した文書が流出した事件も複数発生しています。「その内容と地理的状況から、ラテンアメリカの銀行がMoneyTakerの次の標的となる可能性が示唆されます」とGroup-IBは述べています。
Group-IB は、最近締結したサイバー犯罪対策協力の一環として、MoneyTaker の調査資料をユーロポールおよびインターポールに引き渡しました。®
