info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

سرقت ۱ میلیون دلاری

خلاصه: گروهی از خلافکاران سایبری با نفوذ کردن به  یک مسیریاب به روز نشده در یکی از بانک‌های روسیه، موفق به دزدیدن ۱ میلیون دلار شدند. کارشناسان معتقدند گروه هکری MoneyTaker مسئول این حمله است. این گروه هکری تاکنون حملات زیادی را در روسیه، انگلیس و امریکا انجام داده که عمدتا با اهداف مالی بوده است.

 

یک گروه از خلافکاران سایبری با نفوذ به یک مسیریاب به روز نشده در یکی از بانک‌های روسیه، ۱ میلیون دلار سرقت نمودند. فرایند نفوذ از طریق یکی از مسیریاب‌ها در شعب منطقه‌ای بانک آغاز گردیده و مبلغ سرقتی در سوم جولای از طریق سیستم خودپرداز بانک مرکزی روسیه (AWC) که یک سیستم انتقال وجه بین بانکی محسوب می‌گردد، ربوده شده است. این مبلغ به ۱۷ حساب کاربری در بانک‌های روسیه منتقل و در حال حاضر برداشت شد. 

این رخنه در حالی شناسایی شد که این خلافکاران سایبری با تسخیر این شبکه بانکی در صدد حملات آتی به سیستم بانکی و سرقت مبالغ دیگری بودند. بر این اساس تیم تحقیقات جرم‌شناسی مسکو به نام Group-IB مامور پیگیری این حملات شد. بررسی‌ها نشان می‌دهد حملات این گروه هکری ۵ هفته پس از نخستین دسترسی آن‌ها به شبکه بانکی اتفاق افتاده است.    

بر اساس گزارش روزنامه کومرسانت به نظر می‌رسد این کلاهبرداران سایبری  عضو گروهی به نام MoneyTaker هستند که برای اولین بار در سال ۲۰۱۷ توسط محققان امنیتی آزمایشگاه جرم‌شناسی Group-IB گزارش شده بود. بر مبنای این گزارش، اعضای این گروه هکری تاکنون ۲۰ حمله موفقیت‌ آمیز به مؤسسات مالی و شرکت‌های حقوقی در سراسر روسیه، امریکا و انگلستان انجام داده‌ و یکی از بزرگترین تهدیدات بانکی در سراسر جهان محسوب می‌گردند.

علی‌رغم تبحر گروه MoneyTaker در مخفی‌سازی رفتار مجرمانه خود، محققان Group-IB با ارزیابی شیوه‌ها، تاکتیک‌ها و رویه‌های به کاربرده شده در حمله، موفق به ردیابی و شناسایی آن‌ها شدند. بر اساس بررسی‌های انجام گرفته، این گروه هکری پس از دسترسی به یک شبکه هدف، شاید برای ماه‌ها به منظور بالابردن سطح دسترسی تا سطح مدیر سیستم تلاش کرده و پس از تسخیر کامل شبکه، اقدام به حمله می‌نماید.  

 MoneyTaker برای حمله از ابزارهای رایج و رایگان مانند metasploit، Microsoft’s PowerShell، management framework، برخی از اسکریپت‌های Visual Basic استفاده می‌نماید.

در حمله اخیر به بانک روسیه، MoneyTaker از ابزارهای مشابه وآدرسIPهایی که قبلا برای حمله به بانک های دیگر بکار برده شده بود و نیز بدافزار سفارشی‌سازی شده  MoneyTaker v5.0 استفاده نموده است.

بررسی رفتار این گروه‌های هکری نشان می‌دهد، این گروه‌ها با بررسی و شناسایی نقاط آسیب‌پذیر شبکه‌ها و سامانه‌های هدف، اقدام به نفوذ نموده و پس از تسخیر کامل شروع به حملات جبران ناپذیر می‌نمایند. بنابراین ضرورت امن‌سازی پایه تجهیزات و سامانه‌ها و فراهم سازی امنیت یکپارچه در تک تک اجزای شبکه احساس می‌شود. در مورد اخیر، یک مسیریاب از رده خارج‌شده، دروازه ورود هکرها بوده است. در صورتی که به‌روزرسانی این تجهیز و یا جایگزینی آن، می‌توانست از وقوع این حمله بزرگ جلوگیری نماید.

به نظر شما مسئولیت این حادثه با چه کسی است؟ در سازمان‌ها و زیرساخت‌های حساس داخلی کشور خودمان، آیا از چنین تجهیزات و سامانه‌های به روز نشده‌ای استفاده نمی شود؟ آیا هکرها به پایش نقاط آسیب‌پذیر  شبکه‌های ما نمی‌پردازند؟ آیا نباید منتظر حوادث جبران‌ناپذیر سایبری در سازمان خود باشیم؟...