ハッカーは今月初め、旧式のルーター経由でロシアの銀行のネットワークに侵入し、約100万ドルを盗んだ。
PIR銀行が事件対応のために招聘されたモスクワ拠点のセキュリティ会社グループIBによると、同銀行は悪名高いハッキング集団「マネーテイカー」によって資金を略奪されたという。
7月3日、ロシア中央銀行のAutomated Workstation Client(SWIFTに類似した銀行間資金送金システム)を通じて資金が盗まれ、ロシアの主要銀行17口座に送金され、現金化されました。サイバー犯罪者は、その後の攻撃に備えて「リバースシェル」プログラムを用いて銀行ネットワークへの侵入を試みましたが、これらのハッキングツールは更なる悪意ある行為が行われる前に検出・削除されました。
現地報道によると、PIR銀行はロシア銀行のコルレス口座から約92万ドルの損失を被った。グループIBはこれを「控えめな推定値」としている。
Group-IBのフォレンジック専門家は、銀行内の感染したワークステーションとサーバーを調査した後、MoneyTakerが窃盗に関与したことを示すデジタル証拠を収集しました。PIR銀行への襲撃で残されたデジタルフットプリントは、MoneyTakerに関連する以前の攻撃で使用されたツールと手法と一致していました。
Group-IBは、PIR銀行への攻撃は2018年5月下旬に同銀行の地方支店の1つで使用されていたルーターの乗っ取りから始まったことを確認した。
同社は次のように説明している。「これは2016年にサポートが終了しているiOS 12.4を搭載したCisco 800シリーズルータでした。どのCVEが使用されたかを特定することは不可能で、Syslogなども存在しません。単純に総当たり攻撃された可能性もあります。」
ルータには、攻撃者が銀行のローカルネットワークに直接アクセスすることを可能にするトンネルが備わっていた。Group-IBによると、この手法は、地域支店ネットワークを持つ銀行への攻撃において、同グループが既に少なくとも3回使用していたという。
犯罪者は銀行のメインネットワークをハッキングし、AWS CBR(ロシア中央銀行の自動ワークステーションクライアント)へのアクセスに成功し、支払指示書を作成し、事前に用意されたミュール口座に複数回に分けて送金しました。ハッキングプロセスのいくつかの段階は、PowerShellスクリプトを使用して自動化されました。
「7月4日の夕方、銀行員は多額の不正取引を発見し、規制当局にAWS CBRデジタル署名鍵のブロックを要請したが、資金移動を阻止するのに間に合わなかった」とGroup-IBは報告した。「盗難された資金の大部分は同日中に17大銀行のカードに送金され、ATMからの現金引き出しの最終段階に関与したマネーミュール(資金運び屋)によって即座に現金化された。」
ハッカーたちはログを消去し、痕跡を隠そうとしましたが、Group-IBの専門家が容疑者を特定するのに十分なデジタル証拠が残っていました。同様の攻撃を防ぐための推奨事項は、ロシア中央銀行を含むGroup-IBの顧客およびパートナーに配布されています。
ロシアのハッカー集団が暴露:彼らはマネーテイカーと呼ばれ、あなたのお金を奪おうとしている
続きを読む
グループIBは、サイバー犯罪者はロシアの銀行を積極的に狙っており、PIR銀行の事件は決して孤立したものではないと述べた。
「2018年初頭以降、ロシアの銀行への資金引き出しを狙った攻撃が成功したのは今回が初めてではない」と、グループIBのデジタルフォレンジック研究所所長、ヴァレリー・バウリン氏は述べた。「同様の事件は少なくとも3件確認しているが、調査が完了するまで詳細は公表できない」
MoneyTakerによる最初の攻撃は2016年春に記録されており、彼らはカード処理システム(FirstDataのSTAR)にアクセスし、米国の銀行から金銭を盗み出しました。その後、同グループは数ヶ月間活動を休止していましたが、その後再び活動を開始し、主にロシア、米国、そして時折英国の銀行を標的とした一連の攻撃を続けています。
Group-IBによると、MoneyTakerは昨年12月までに米国で16件、ロシアの銀行で5件、英国の銀行ソフトウェア会社で1件の攻撃を実行した。米国では1件の攻撃による平均被害額は50万ドルに上った。ロシアでは、1件あたりの平均流出額は120万ドルに上る。金銭に加え、サイバー犯罪者はその後の攻撃に備えるために、銀行間決済システムに関する文書を窃取する傾向がある。®
ブートノート
ロシアの銀行を標的とするサイバー犯罪者はMoneyTakerだけではありません。Group-IBによると、今年は他に2つのグループ(CobaltとSilence)も活動しています。
