Hackers Exploraram Router desatualizado para roubar US$ 1 milhão

Hacker usaram novamente a técnica do Smokescreen

Hackers Exploraram Router desatualizado para roubar US$ 1 milhão.  Hackers roubaram pelo menos US $ 920.000 a partir PIR Banco da Rússia depois de terem comprometido com sucesso um roteador Cisco, antigo e sem suporte, de uma agência do banco para criar um túnel para dentro da rede local do banco.

Foi um Série 800 Router Cisco, com o iOS 12.4, para o qual o suporte terminou em 2016,” disse Sergey Nikitin, um perito forense digital da empresa Group-IB de cibersegurança e resposta à incidente com sede em Moscou , ao Information Security Media Group.

O assalto veio à tona depois jornal político e financeiro diário da Rússia Kommersant em 6 de julho relatou que PIR Bank do país perdeu pelo menos 58 milhões de rublos (equivalente a US$ 920.000), e possivelmente muito mais, depois de hackers ter transferido dinheiro da conta do banco no Banco da Rússia , que é o banco central do país. Embora o PIR Bank teria sido capaz de recuperar alguns fundos, mas a maior parte do dinheiro transferido parece ter sido perdida.

Investigação Heist

Mais detalhes sobre o ataque já foram liberados pelo Group-IB, que foi contratado pelo PIR Bank para investigar o assalto que o banco descobriu na noite de 4 de Julho. Baseado em técnicas de ataques, incluindo o uso extensivo de scripts do PowerShell para ganhar persistência em redes e automatizar partes de seu ataque, Grupo-IB atribuiu o assalto a um grupo chamado MoneyTaker.

MoneyTaker é um dos três grupos de cibercrime mais ativos do país – os outros são Cobalt e Silence – que regularmente atacam o setor financeiros segundo o Group-IB diz . A empresa acrescenta que este é pelo menos a quarta vez este ano que MoneyTaker ganhou com sucesso o acesso à rede de um banco através da exploração de um dos roteadores da uma agência regional.

Em dezembro de 2017, Group-IB publicou um relatório sobre MoneyTaker em que disse que o grupo, que tem como alvo principalmente os bancos comunitários pequenos, tinham desde meados-2016 roubado quase US$ 10 milhões de pelo menos 20 empresa de serviços financeiros com base na Rússia, o Reino Unido e os Estados Unidos. Dezesseis dessas vítimas tinham sede nos Estados Unidos, segundo o Group-IB, e observam que o valor médio roubado em cada ataque foi de US$ 500.000.

O incidente de 2016, quando hackers do MoneyTaker roubaram cerca de US$ 2 milhões que usando um programa próprio auto-intitulado, continua sendo um dos maiores ataques desse tipo, diz Valeriy Baulin, que lidera laboratório forense digital da Group-IB. A empresa informa que MoneyTaker usa frequentemente malwares fileless, o software de teste de penetração Metasploit open source, bem como “one-time infraestructure” para encobrir os seus ataques.

O ataque contra a PIR Bank não é o primeiro roubo este ano contra um banco russo. “Sabemos de pelo menos três incidentes semelhantes, mas não podemos divulgar quaisquer detalhes antes de nossas investigações sejam concluídas“, diz Baulin.

 

Como Hackers infiltradas PIR Banco

O Group-IB diz que os atacantes começaram seu ataque no final de maio, explorando o roteador desatualizado.

Nikitin do Group-IB diz que explorar o roteador não teria sido difícil, tecnicamente falando. Nada [necessariamente] surpreendente, como um zero-day exploit. É impossível determinar qual CVE foi usado, é claro que não havia syslog ou qualquer coisa assim – eles simplesmente podem ter usado um ataque de força bruta“, diz ele.

Do Router à rede

Depois de explorar o router, os atacantes criaram um túnel na rede principal do banco. De lá, eles conseguiram ter acesso a uma estação cliente de trabalho automatizado do Banco Central da Rússia, ou AWS CBR, que é um sistema de mensagens interbancário projetado para transferências de fundos do banco, semelhante ao sistema de mensagens da rede SWIFT .

Depois de acessar AWS CBR, os atacantes foram capazes de “gerar ordens de pagamento e enviar dinheiro em várias parcelas a contas de ‘laranjas’ preparadas com antecedência“, diz Group-IB.

Neste caso, os ‘laranjas’ usaram cartões emitidos pelos bancos para retirar o dinheiro das contas para as quais os fundos roubados tinham sido transferidos, diz Group-IB. Uma vez que o dinheiro das contas foram sacadas, cabe à polícia identificar e prender os criminosos e tentar recuperar o dinheiro.

 

“Cortina de Fumaça” dos hackers

Funcionários do banco viram o roubo na noite de 4 de Julho depois de terem “encontrado transações não autorizadas com grandes somas.” e em seguida, pediram ao banco central “para bloquear as chaves de assinatura digital de AWS CBR, mas não conseguiram parar as transferências financeiras no tempo“, diz Group-IB.

A maior parte do dinheiro roubado foi transferido para cartões dos 17 maiores bancos no mesmo dia e imediatamente sacados pelos ‘laranjas’ envolvidos na fase final de retirada do dinheiro nos caixas eletrônicos“, aponta o Group-IB.

Para disfarçar o roubo e tentar tornar a vida mais difícil para os investigadores forenses digitais, segundo o Group-IB, os atacantes – não pela primeira vez – tentou cobrir suas trilhas, limpando os registros de numerosos sistemas bancários. Os criminosos também deixou alguns “reverse shells” – código projetado para se comunicar automaticamente com máquinas controladas pelos atacante que os atacantes poderiam usar mais tarde para recuperar o acesso à rede e lançar novos ataques ao banco. O Group-IB diz que identificou os “reverse shells” e que os administradores do sistema do PIR Bank os limpou da rede do banco.

Não é a primeira vez que hackers utilizam uma “cortina de fumaça” para chamar a atenção das equipes enquanto realizam o ataque real em paralelo. Em maio hackers roubaram US$10M do Banco do Chile, segundo maior banco do país, usando técnicas de smokescreen (Cortina de fumaça).

Fonte: Bank Info Security

 

Veja também:

 

 

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Live University lança o Cyber Security Forum, um evento 100% online
  2. Dicas importantes de segurança para IoT - Blog da BinárioBlog da Binário

Deixe sua opinião!