Хакеры проникли в сеть ПИР банка, скомпрометировав всего один роутер - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
20-07-2018, 17:00
Хакеры проникли в сеть ПИР банка, скомпрометировав всего один роутер - «Новости»
Рейтинг:
Категория: Новости

В начале июля 2018 года ПИР банк был атакован хакерами и лишился более 58 млн рублей, которые были похищены с корсчета в Банке России. Тогда сообщалось, что украденные средства «веерной рассылкой» выводились на пластиковые карты физических лиц в крупнейших банках. После этого средства были обналичены в различных регионах страны, причем большинство из них обналичили сразу в ночь инцидента.


Теперь специалисты Group-IB представили развернутый отчет о случившемся. Исследователи сообщают, что за атакой и попыткой хищения миллионов рублей стоит преступная группа MoneyTaker, специализирующаяся на целевых атаках на финансовые организации. Еще в прошлом году  эксперты компании посвятили MoneyTaker детальный аналитический отчет.  Основными целями хакеров в банках являются карточный процессинг и системы межбанковских переводов (АРМ КБР и SWIFT).


Инцидент в ПИР банке произошел в ночь с 3 на 4 июля с использованием АРМ КБР (автоматизированное рабочее место клиента Банка России). После вышеупомянутого вывода денег злоумышленники попытались «закрепиться» в сети банка для подготовки последующих атак, однако были обнаружены специалистами Group-IB.


«В рамках произошедшего инцидента специалисты компании Group-IB в максимально короткие сроки помогли установить предполагаемый источник атаки, выстроить цепочку событий, а также локализовать проблему. На данный момент Банк работает в штатном режиме, все рекомендации компании Group-IB применяются и будут применяться в работе банка, чтобы не допустить подобных инцидентов в будущем», — комментирует  председатель правления банка Ольга Колосова.


Изучив зараженные рабочие станции и сервера финансовой организации, криминалисты собрали доказательства причастности к краже хакеров из MoneyTaker. В частности, были обнаружены инструменты, которые группа MoneyTaker ранее использовала для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также сам метод проникновения в сеть.


Что произошло в ПИР Банке?


Как выяснили аналитики Group-IB, атака на ПИР Банк началась еще в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На этом маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть финансового учреждения. В Group-IB подчеркивают: такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовался эту схему при атаках на банки, имеющих региональную филиальную сеть.


Для закрепления в системе и автоматизации некоторых этапов атаки хакеры MoneyTaker как правило используют скрипты на PowerShell, что отмечалось еще в прошлом отчете. Проникнув в основную сеть ПИР банка, злоумышленники смогли получить доступ к АРМ КБР, сформировать платежные поручения и отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета.


Утром 4 июля, когда были обнаружены многочисленные несанкционированные транзакции на несколько десятков миллионов рублей, сотрудники банка обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР, однако оперативно приостановить все финансовые переводы не удалось. Большая часть украденных средств была переведена на несколько десятков карт крупнейших банков РФ и сразу же обналичена сообщниками хакеров — мулами (money mule), привлекаемыми к финальному этапу вывода денег из банкоматов.


Заметая следы


Для затруднения реагирования на инцидент и дальнейшего его расследования, атакующие уничтожали следы своего пребывания в системе, характерным для MoneyTaker способом: на многочисленных компьютерах происходила очистка системных журналов операционной системы, журналов прикладных систем и удаление системных файлов. Однако исследователи Group-IB пошагово восстановили все действия и инструменты злоумышленников: запуск сервисов через скрипты PowerShell для получения полного контроля над избранными рабочими станциями и серверами с помощью Meterpreter (Metasploit Framework), распространение по сети с помощью RDP, SMB, Dameware Mini Remote Control и Radmin и так далее.


Кроме этого, хакеры оставили на серверах ряд реверсшеллов, которые из сети банка подключались к серверам злоумышленников и ожидали новых команд для возможности проведения повторных атак и доступа в сеть. Все это было выявлено сотрудниками Group-IB и удалено администраторами банка.


«С начала 2018 года это далеко не первая успешная атака на российский банк, завершившаяся выводом денег. Нам известно, как минимум о трех подобных инцидентах, однако до завершения расследования раскрывать подробности мы не можем. Что касается схем вывода: у каждой группы, специализирующейся на целевых атаках — Cobalt и MoneyTaker (они наиболее активны в 2018 году) — схема своя, она зависит от суммы и сценариев обнала, которые есть у хакеров. Нужно понимать, что атаки на АРМ КБР сложны в реализации и проводят их не часто, поскольку успешно “работать на машине с АРМ КБР” умеют далеко не все. Одной из крупнейших атак подобного рода остается инцидент образца 2016 года, когда хакеры МoneyTaker вывели порядка 120 млн рублей при помощи самописной одноименной программы», — рассказывает Валерий Баулин, руководитель лаборатории компьютерной криминалистики Group-IB.


Кто такие MoneyTaker и почему их сложно поймать?


Первая атака MoneyTaker была зафиксирована весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. После этого хакеры почти на 4 месяца «залегли на дно» и лишь в сентябре 2016 года атаковали банки в России. На этот раз их целью стала АРМ КБР — российская система межбанковских переводов. В целом, за 2016 год Group-IB зафиксировала 10 атак MoneyTaker в США, в Англии и России. С 2017 года география атак сужается до России и США. В 2018 году были  зафиксированы лишь две атаки MoneyTaker в России.


Специалисты пишут, что MoneyTaker имеет свой неповторимый «почерк». Хакеры стараются оставаться незамеченными, используют «одноразовую» инфраструктуру, «бестелесные» программы и тщательно заметают следы своего присутствия. Их отличает уникальный набор инструментов (для закрепления в системе группа использует фреимворк Metasploit и PowerShell Empire).


По мнению аналитиков Group-IB, MoneyTaker представляют не меньшую угрозу, чем группа Cobalt, названная ЦБ главной угрозой для российских банков. В связи с инцидентом в ПИР Банке Group-IB предоставила рекомендации службам безопасности финансовых организаций о том, как минимизировать опасность, которую представляет эта группа.


Так как в большинстве успешных атак MoneyTaker точкой входа являлись маршрутизаторы, эксперты рекомендуют в первую очередь проверить их на наличие актуальной прошивки, на возможность перебора паролей и способность оперативно обнаруживать факт изменения конфигурации маршрутизатора.


В декабрьском отчете Group-IB говорилось, что на тот момент на счету MoneyTaker были 16 атак в США, 3 — на банки России и 1 — на ИТ-компанию в Великобритании. В США средний ущерб от одной атаки составлял $500 000. В России средний объем выведенных средств — 72 млн рублей. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежеи, необходимую для подготовки дальнеиших атак.


Источник новостиgoogle.com

В начале июля 2018 года ПИР банк был атакован хакерами и лишился более 58 млн рублей, которые были похищены с корсчета в Банке России. Тогда сообщалось, что украденные средства «веерной рассылкой» выводились на пластиковые карты физических лиц в крупнейших банках. После этого средства были обналичены в различных регионах страны, причем большинство из них обналичили сразу в ночь инцидента. Теперь специалисты Group-IB представили развернутый отчет о случившемся. Исследователи сообщают, что за атакой и попыткой хищения миллионов рублей стоит преступная группа MoneyTaker, специализирующаяся на целевых атаках на финансовые организации. Еще в прошлом году эксперты компании посвятили MoneyTaker детальный аналитический отчет. Основными целями хакеров в банках являются карточный процессинг и системы межбанковских переводов (АРМ КБР и SWIFT). Инцидент в ПИР банке произошел в ночь с 3 на 4 июля с использованием АРМ КБР (автоматизированное рабочее место клиента Банка России). После вышеупомянутого вывода денег злоумышленники попытались «закрепиться» в сети банка для подготовки последующих атак, однако были обнаружены специалистами Group-IB. «В рамках произошедшего инцидента специалисты компании Group-IB в максимально короткие сроки помогли установить предполагаемый источник атаки, выстроить цепочку событий, а также локализовать проблему. На данный момент Банк работает в штатном режиме, все рекомендации компании Group-IB применяются и будут применяться в работе банка, чтобы не допустить подобных инцидентов в будущем», — комментирует председатель правления банка Ольга Колосова. Изучив зараженные рабочие станции и сервера финансовой организации, криминалисты собрали доказательства причастности к краже хакеров из MoneyTaker. В частности, были обнаружены инструменты, которые группа MoneyTaker ранее использовала для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также сам метод проникновения в сеть. Что произошло в ПИР Банке? Как выяснили аналитики Group-IB, атака на ПИР Банк началась еще в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На этом маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть финансового учреждения. В Group-IB подчеркивают: такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовался эту схему при атаках на банки, имеющих региональную филиальную сеть. Для закрепления в системе и автоматизации некоторых этапов атаки хакеры MoneyTaker как правило используют скрипты на PowerShell, что отмечалось еще в прошлом отчете. Проникнув в основную сеть ПИР банка, злоумышленники смогли получить доступ к АРМ КБР, сформировать платежные поручения и отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета. Утром 4 июля, когда были обнаружены многочисленные несанкционированные транзакции на несколько десятков миллионов рублей, сотрудники банка обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР, однако оперативно приостановить все финансовые переводы не удалось. Большая часть украденных средств была переведена на несколько десятков карт крупнейших банков РФ и сразу же обналичена сообщниками хакеров — мулами (money mule), привлекаемыми к финальному этапу вывода денег из банкоматов. Заметая следы Для затруднения реагирования на инцидент и дальнейшего его расследования, атакующие уничтожали следы своего пребывания в системе, характерным для MoneyTaker способом: на многочисленных компьютерах происходила очистка системных журналов операционной системы, журналов прикладных систем и удаление системных файлов. Однако исследователи Group-IB пошагово восстановили все действия и инструменты злоумышленников: запуск сервисов через скрипты PowerShell для получения полного контроля над избранными рабочими станциями и серверами с помощью Meterpreter (Metasploit Framework), распространение по сети с помощью RDP, SMB, Dameware Mini Remote Control и Radmin и так далее. Кроме этого, хакеры оставили на серверах ряд реверсшеллов, которые из сети банка подключались к серверам злоумышленников и ожидали новых команд для возможности проведения повторных атак и доступа в сеть. Все это было выявлено сотрудниками Group-IB и удалено администраторами банка. «С начала 2018 года это далеко не первая успешная атака на российский банк, завершившаяся выводом денег. Нам известно, как минимум о трех подобных инцидентах, однако до завершения расследования раскрывать подробности мы не можем. Что касается схем вывода: у каждой группы, специализирующейся на целевых атаках — Cobalt и MoneyTaker (они наиболее активны в 2018 году) — схема своя, она зависит от суммы и сценариев обнала, которые есть у хакеров. Нужно понимать, что атаки на АРМ КБР сложны в реализации и проводят их не часто, поскольку успешно “работать на машине с АРМ КБР” умеют далеко не все. Одной из крупнейших атак подобного рода остается инцидент образца 2016 года, когда хакеры МoneyTaker вывели порядка 120 млн рублей при помощи самописной одноименной программы», — рассказывает Валерий Баулин, руководитель лаборатории компьютерной криминалистики Group-IB. Кто такие MoneyTaker и почему их сложно поймать? Первая атака MoneyTaker была зафиксирована весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. После этого хакеры почти на 4 месяца «залегли на дно» и лишь в сентябре 2016 года атаковали банки в России. На этот раз их целью стала АРМ КБР — российская система межбанковских переводов. В целом, за 2016 год Group-IB зафиксировала 10 атак MoneyTaker в США, в Англии и России. С 2017 года география атак сужается до России и США. В 2018 году были зафиксированы лишь две атаки MoneyTaker в России. Специалисты пишут, что MoneyTaker имеет свой неповторимый «почерк». Хакеры стараются оставаться незамеченными, используют «одноразовую» инфраструктуру, «бестелесные» программы и тщательно заметают следы своего присутствия. Их отличает уникальный набор инструментов (для закрепления в системе группа использует фреимворк Metasploit и PowerShell Empire). По мнению аналитиков Group-IB, MoneyTaker представляют не меньшую угрозу, чем группа Cobalt, названная ЦБ главной угрозой для российских банков. В связи с инцидентом в ПИР Банке Group-IB предоставила рекомендации службам безопасности финансовых организаций о том, как минимизировать опасность, которую представляет эта группа. Так как в большинстве успешных атак MoneyTaker точкой входа являлись маршрутизаторы, эксперты рекомендуют в первую очередь проверить их на наличие актуальной прошивки, на возможность перебора паролей и способность оперативно обнаруживать факт изменения конфигурации маршрутизатора. В декабрьском отчете Group-IB говорилось, что на тот момент на счету MoneyTaker были 16 атак в США, 3 — на банки России и 1 — на ИТ-компанию в Великобритании. В США средний ущерб от одной атаки составлял $500 000. В России средний объем выведенных средств — 72 млн рублей. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежеи, необходимую для подготовки дальнеиших атак. Источник новости - google.com

Теги: CSS, MoneyTaker были Group-IB хакеры атак

Просмотров: 786
Комментариев: 0:   20-07-2018, 17:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: