חשיפה: כ-10 מיליון דולרים נגנבו מבנקים בארה"ב וברוסיה בהונאת כספומטים
קבוצת האקרים שזכתה לכינוי MoneyTaker, ושמתנהלת בשפה הרוסית, גנבה את הסכום במהלך 18 החודשים האחרונים מ-18 בנקים בארה"ב, בריטניה ורוסיה, בתוך התמקדות במערכות העברה בנקאיות ● הפורצים הצפינו תקשורת באמצעות הסתתרות מאחורי שמות כמו Bank of America, Federal Reserve Bank, מיקרוסופט ויאהו
קבוצת האקרים שעדיין לא התגלתה עד כה, ושחבריה דוברי השפה הרוסית, גנבה בשנים האחרונות בשקט כמעט 10 מיליון דולר מ-18 בנקים בארה"ב, בבריטניה וברוסיה, בתוך התמקדות במערכות העברה בנקאיות, כך על-פי חברת האבטחה Group-IB ממוסקבה.
Group-IB הזהירה כי ההתקפות, שהחלו לפני 18 חודשים ואפשרו גנבת כספים ממכונות הכספומט האוטומטיות של הבנקים (ATM), נראו כמתמשכות, וכי היעד הבא של התוקפים עלול להיות הבנקים באמריקה הלטינית.
חברת האבטחה ממוסקבה כינתה את קבוצת ההאקרים החדשה בשם MoneyTaker, לאחר על שם התוכנה שבה השתמשה הקבוצה לחטיפת צווי תשלום, ולאחר מכן לפדיית כספים באמצעות רשת של money mules ברמה נמוכה.
לפי העדויות שחשפה Group-IB, בשנה וחצי האחרונות פגעה MoneyTaker בהצלחה ב-18 בנקים או איגודי אשראי, בשני עסקים בתחום השירותים הפיננסיים ובפירמה אחת. שתיים מהמטרות היו ברוסיה, יעד אחד בבריטניה, והשאר בארצות הברית, כשהסכום הממוצע שנגנב בכל אחת מהפריצות היה 500 אלף דולר.
נקודת הפתיחה – ברשת "STAR" האמריקנית
ההתקפה הראשונה, כנגד הבנקים ברשת "STAR" של First Data – מערכת העברת ההודעות הגדולה ביותר בארה"ב המחברת בין כספומטים ליותר מ-5,000 ארגונים – התרחשה באביב 2016, כך דיווחו חוקרים מ-Group-IB בדו"ח בן 36 עמודים.
First Data הודיעה בהצהרה לתקשורת כי אישורים של מספר מוסדות פיננסיים קטנים נפרצו לצורך ניהול כרטיסי חיוב הפועלים ברשת STAR מוקדם יותר בשנת 2016. עוד נמסר בהודעה כי הגילוי הוביל את First Data ליישם פקדי אבטחה חדשים. מאידך טענה החברה כי רשת STAR מעולם לא נפרצה, וכי היא חוקרת כמה מקרים שבהם האקרים למדו כיצד לבצע העברות כספים באמצעות המערכת הבנקאית SWIFT, אך ציינה כי אין לומר אם ההתקפות הללו צלחו.
SWIFT אמרה באוקטובר כי האקרים עדיין מתמקדים במערכת העברת ההודעות הבין-בנקאית שלה, אך קבעה כי פקדי אבטחה שהוכנסו לפעולה אחרי הפריצה של שנה שעברה, שבה נשדדו מהבנק המרכזי של בנגלדש (Bangladesh’s Central Bank) כ-81 מיליון דולרים, סיכלו רבים מניסיונות אלה.
המטרות לא ידעו שנפרצו
ההאקרים משתמשים בתוכנה זדונית המאוחסנת כמעט כולה בזיכרון המחשב, תכונה שגורמת להם להיות קשים ביותר לאיתור על ידי הגנות אנטי-וירוס. הזודנה שבתוך הזיכרון גם מקשה על מטרות לדעת שהן נפרצו מאחר שכל העקבות נהרסים ברגע שמחשב מאותחל מחדש.
לדברי Group-IB ההתקפות של הקבוצה גם הסתמכו על מסגרת Metasploit בכדי לעבוד – לאחר קבלת גישה ראשונית לרשת ממוקדת, התוקפים ביצעו סיור בכדי לקבל הרשאות מנהל לתחום ולבסוף לאחד את השליטה ברשת. הם גם הצפינו תקשורת באמצעות תעודות שיש להן שמות כגון Bank of America, Federal Reserve Bank, מיקרוסופט (Microsoft) ויאהו (Yahoo).
תגובות
(0)