Siber suç grubu, Rus bankalarından milyonlarca insanı çaldı, ABD ve Avrupalı ​​perakendecileri hedef aldı

Rusya ve eski Sovyetler Birliği ülkelerindeki çok sayıdaki finans kurumunun altyapısına ve satış noktası haline getirilen karmaşık bir siber suçlular grubu 25 milyon ABD Doları'nın üzerinde çaldı. ABD ve Avrupalı ​​perakendecilere ait sistemler.

Rus siber suç araştırma şirketlerinden araştırmacılar Group-IB ve Hollandalı güvenlik firması Fox-IT, siber suç örgütü Anunak'ı kendi araç setindeki birincil kötü amaçlı yazılım programından sonra adlandırdı.

Çoğu siber suç operasyonu aksine Saldırganların finansal kurumların müşterilerini hedef aldıkları yer olan Anunak grubu, kurumların kendi iç ağlarını, iş istasyonlarını ve hizmetlerini ödün vererek, kurumları kendileri hedef aldı. rs. Bu erişim, kendi kontrolleri altında hesaplara para aktarmalarına ve bazı durumlarda da dolandırıcılıktan para çekmek için kullandıkları ATM'lerden ödün vermelerine bile izin verdi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

“ 2013'ten beri, 50'den fazla Rus bankasının ve 5 ödeme sisteminin ağlarına başarılı bir şekilde eriştiler ve bu kurumlardan 2 tanesi bankacılık lisanslarından mahrum bırakıldı ”dedi. “Bugüne kadar hırsızlığın toplam miktarı 1 milyar rubleden fazla (yaklaşık 25 milyon dolar), çoğu da 2014'ün ikinci yarısında çalındı.”

Anunak saldırganları, düzenli çalışanların bilgisayarlarını kötü amaçlı yazılımlarla enfekte ederek başladı ve daha sonra sunucuları ve aktif etki alanı hesaplarını uzatarak ağ içinde yanlamasına hareket edin. Grup ağ tarayıcıları, keylogger'lar, parola krakerleri, SSH arka kapıları, uzaktan kumanda programları ve genellikle Metasploit penetrasyon testi çerçevesini kullanıyor.

Bununla birlikte, onların birincil aracı, çalınmak için tasarlanmış bir malware programı olan Carberp'e dayanan bir bilgisayar olan Anunak adında bir bilgisayardı. Online bankacılık kredileri ve kaynak kodu Haziran 2013'te online olarak sızdırıldı. Grup-IB araştırmacıları, Anunak grubunun bazı üyelerinin daha önce iç çatışmaları takiben 2013'te ayrılan Carberp çetesinin üyeleri olduğuna inanıyorlar.

Saldırganlar birkaç Anunak Truvaları ile bilgisayarlara bulaşma yöntemleri. Bunlara, istismar kitleri aracılığıyla sürücülerin indirilmesi (grubun ziyaretçilere saldırmak için 2013'te php.net sitesinde kötü amaçlı kod enjekte ettiğine inanılıyor), Rus Merkez Bankası tarafından gönderildiği iddia edilen kötü amaçlı eklerle e-postaların sahte olması Taksitli ödeme anlaşmalarının bir parçası olarak diğer kötü amaçlı yazılım programlarıyla federasyon ve kurulum.

Grup-IB araştırmacıları, “Suç grubu, kötü amaçlı yazılımlarını kitlesel bir şekilde dağıtan büyük botnet sahipleriyle temas kuruyor” dedi. “Saldırganlar, bu botnet sahiplerinden, botnet sahiplerinin kötü amaçlı yazılım yüklediği bilgisayarların IP adresleri hakkındaki bilgileri satın alıp, IP adreslerinin mali ve resmi kurumlara ait olup olmadığını kontrol ediyorlar. Kötü amaçlı yazılım, ilgilenilen alt ağda bulunuyorsa, saldırganlar hedef kötü amaçlı yazılımlarının yüklenmesi için büyük botnet sahibine ödeme yaparlar. ”

2014'ün ikinci çeyreğinden itibaren, Anunak grubu ABD, Avustralya ve Avrupa'daki perakendecileri de hedef aldı. Satış noktası (POS) terminallerini, işlem sırasında ödeme kartı verisini çalabilen kötü amaçlı yazılımlarla enfekte etme amacı.

Perakende kuruluşlarında 12 tane ihlal tespit edildi. Araştırmacılar raporlarında, bu verilerin üçünde kart verisi doğrulandı. Grup ayrıca, ABD merkezli PR ve medya kuruluşlarının bilgisayarlarında, muhtemelen borsada alım satım avantajları elde etme niyetinde olan bilgisayarlardan da taviz verdiler.

“Batı Avrupa ve Amerika Birleşik Devletleri'nde bankalara karşı herhangi bir uzlaşma kanıtı yok. ama saldırganların yöntemlerinin Rusya dışındaki bankalara da kullanılabileceğine dikkat çekilmelidir ”diye konuştu.