سرقت از بانک‌های روسی از سوی گروه هکری MoneyTaker

0
435
سرقت از بانک‌های روسی از سوی گروه هکری MoneyTaker

محققان امنیتی به‌تازگی موفق به شناسایی یک گروه هکری روس زبان با نام MoneyTaker شدند. هدف این گروه بانک‌ها، مؤسسات مالی و شرکت‌های حقوقی در آمریکا، انگلیس و روسیه است.

شرکت امنیتی Group-IB روز دوشنبه با انتشار یک گزارش ۳۶ صفحه‌ای، جزییات گروه MoneyTaker را افشا کرد. ظاهراً این گروه از می سال ۲۰۱۶ فعالیت خود را آغاز کرده است.

بر اساس گزارش منتشرشده از سوی این محققین، گروه مذکور در ۱۸ ماه پیش تاکنون بیش از ۲۰ حمله سایبری به سازمان‌های مالی داشته است. در این حملات بیش از ۱۱ میلیون دلار به همراه اسناد مهم موردنیاز برای اجرای حملات آتی به سرقت رفته است.

گفتنی است این گروه تاکنون به سیستم‌های پردازش کارت از جمله AWS CBR سیستم بین بانکی روسیه و سرویس پیام‌رسان بانک بین‌المللی SWIFT در آمریکا حمله کرده است.

گروه MoneyAttacker بعد از اولین حمله موفقیت‌آمیز خود، بانک‌هایی را در California,Illinois,Utah,Oklahoma,Colorado,SouthCarolina,Missouri,Virginia هدف قرار داده است. در گزارشات آمده است به‌احتمال خیلی قوی هدف بعدی این گروه بانک‌های آمریکای لاتین است.

بنا به گزارشات منتشر شده، گروه مذکور بعد از حملات متعدد خود به بانک‌ها، فعالیت‌های مخرب خود را از طریق ابزارهای هک و تست نفوذ در دسترس، پنهان نگاه داشته است. آن‌ها با استفاده از ابزاری ماژولار، دستورات پرداخت را اسکن کرده و با تغییر آن‌ها، جزییات پرداخت اصلی را با موارد جعلی جایگزین می‌کند، در انتهای عملیات نیز با دقت هر چه تمام‌تر ردپای بدافزار را از بین می‌برد.

همچنین این گروه به‌جز استفاده از ابزارهای متن‌باز از تروجان های بانکی Kronos و Citadel برای تحویل بدافزار پایانه‌های فروش با نام ScanPOS استفاده کرده است. آن‌ها برای پنهان کردن ترافیک مخرب خود از گواهینامه SSL ساخته‌شده با نام برندهای مشهور استفاده می‌کند.

لازم به ذکر است  محققین Group-IB معتقدند این گروه هکری هم‌اکنون به دنبال راهی برای نفوذ به سیستم ارتباطات بین‌بانکی SWIFT است. با این وجود هنوز موفق به یافتن هیچ نشانه و رد پایی از MoneyTaker  در حملات سایبری اخیر به سیستم‌های SWIFT نشده‌اند.