+39 051 0516686 | security@foresite.it
bclose

Hacker violano una banca russa e rubano 1 milione di dollari grazie a un router vecchio

Un noto gruppo di hacker conosciuto come “MoneyTaker” ha rubato l’equivalente di circa 1 milione di dollari da una banca russa dopo averne violato la rete tramite un vecchio router.

La vittima di questo attacco è la PIR Bank, che ha perso almeno 920.000$ in denaro trasferito su conti nella Banca di Russia.

Un’azienda di sicurezza informatica Russa, Group-IB, chiamata ad investigare sull’accaduto ha dichiarato che, dopo aver studiato i client ed i server infetti alla PIR Bank, hanno collezionato prove digitali inconfutabili che collegano MoneyTaker a questo furto.

Gli esperti collegano questo gruppo di hacker a furti effettuati in banche negli Stati Uniti, nel Regno Unito e in Russia a partire dal 2016.
Secondo Group-IB gli attacchi di MoneyTaker che hanno colpito le banche miravano ad infiltrarsi nel sistema interbancario e nei sistemi di elaborazione delle carte come il First Data STAR Network e l’Automated Work Station Client della Banca Centrale di Russia (AWS CBR).

Come si è sviluppato l’attacco

Questo è quello che è successo anche stavolta, secondo Group-IB. Gli hacker si sono infiltrati nella rete di PIR Bank a fine Maggio sfruttando un router vecchio in uno delle filiali regionali della banca.
“Il router aveva tunnel che hanno permesso ai pirati di ottenere accesso diretto alla rete locale della banca”- hanno detto gli esperti di Group-IB – ”Questa tecnica è una caratteristica di MoneyTaker. Questo schema è già stato utilizzato da questo gruppo almeno tre volte, in attacchi a reti locali di banche.”

Gli hacker hanno poi utilizzato il router per infettare la rete locale con malware.
Poi, tramite script PowerShell hanno ottenuto persistenza e hanno compiuto operazioni malevole senza venire rilevati.

Quando finalmente gli hacker sono penetrati nella rete principale di PIR Bank, hanno ottenuto accesso anche all’account AWS CBR, il sistema di cui avevano bisogno per controllare le transazioni finanziarie.

Il 3 luglio MoneyTaker ha utilizzato questo sistema per traferire denaro dalla PIR Bank a 17 conti creati precedentemente nella Bank of Russia. Non appena questo denaro è arrivato su questi conti, è stato prelevato da vari bancomat in tutta la Russia.

Gli impiegati della PIR Bank hanno scoperto l’attacco il giorno dopo, il 4 Luglio, troppo tardi per poter annullare le transazioni.

Gli hacker hanno poi cercato di pulire i log dei computer infetti, per nascondere le proprie tracce, ma Group-IB ha detto di aver trovato delle reverse shells utilizzate per accedere ai computer compromessi.

In passato il gruppo “MoneyTaker” ha compiuto attacchi in 15 banche degli Stati Uniti, un provider americano, un’azienda di software per banking inglese e una azienda legale russa.
Qui sotto mostriamo una grafico di tutti gli attacchi eseguiti da MoneyTaker, aggiornato fino a Dicembre 2017

FORESITE

About "FORESITE"

No Comments

Comments are closed.