Zero
Gruppo IB
Almeno un membro di un appena scoperto il crimine informatico gruppo di hacker sembra essere un ex o attuale dipendente di un cyber-sicurezza aziendale, secondo un nuovo rapporto pubblicato oggi.
Il rapporto, pubblicato da Mosca a base di cyber-sicurezza ditta Gruppo IB, rompe le attività precedentemente non dichiarata cyber-gruppo criminale denominato Silenzio.
Secondo Gruppo IB, il gruppo ha trascorso gli ultimi tre anni di montaggio silent cyber-attacchi contro le istituzioni finanziarie in Russia e in Europa Orientale.
Il gruppo è andato inosservato per anni, soprattutto a causa della sua predisposizione per l’utilizzo di applicazioni legittime e strumenti già presenti sul computer della vittima, in una tattica conosciuta come “vivere fuori della terra.”
Ma il Silenzio anche creato i loro propri strumenti, quali:
Silenzio-un quadro per le infrastrutture, gli attacchi, l’Atmosfera, un insieme di strumenti software per attacchi su Bancomat;Farsa–uno strumento per ottenere le password su un computer compromesso;Cleaner–uno strumento per i registri di rimozione.
Questi strumenti, accoppiato con il gruppo di laici-basso tattiche permesso di andare sotto il radar per molto più a lungo rispetto a molti dei suoi omologhi.
Vedi anche: utility di Windows utilizzato da malware nel nuovo furto di informazioni e campagne
A seguito di un anno di indagini il gruppo modus operandi, Gruppo IB, dice che il gruppo è stato collegato alla hack andando nel lontano 2016.
Il primo hack attribuito al Silenzio, ha avuto luogo nel mese di luglio 2016. L’hack è stato un tentativo non riuscito di prelevare il denaro tramite il russo inter-transazione bancaria sistema noto come AWS CBR (Automated Stazione di Lavoro Client di della Banca Centrale russa).
“Gli hacker hanno avuto accesso al sistema, ma l’attacco non andato a buon fine a causa dell’inadeguata preparazione dell’ordine di pagamento. Il
dipendenti della banca sospeso l’operazione”, Gruppo IB ha spiegato nella sua relazione.
Tuttavia, la banca di bonifica sforzi non erano alla pari, e il Silenzio riottenuto l’accesso alla stessa banca di rete un mese più tardi, nell’agosto del 2016. Questa volta, hanno preso un altro approccio.
“[Silenzio] software scaricato segretamente prendere screenshot e ha proceduto ad indagare il lavoro dell’operatore di via streaming. Questa volta, la banca ha chiesto di Gruppo-IB per rispondere all’incidente. L’attacco
è stato arrestato. Tuttavia, il registro completo dell’evento è irreversibile, perché nel tentativo di pulire la rete, la banca, il team IT di eliminato la maggior parte dell’attaccante tracce,” Gruppo IB detto.
Ma il Silenzio del gruppo non si è fermata dopo questi primi maldestri tentativi di hacking. Sono riusciti a penetrare in una banca e, infine, rubare un po ‘ di soldi, più di un anno dopo, nell’ottobre del 2017.
Secondo Gruppo IB, il gruppo ha smesso di eseguire il cablaggio di soldi usando il AWS CBR sistema e passare a prendere di mira la banca, BANCOMAT, sistemi di controllo, fare Bancomat vomitare contanti (noto come jackpotting) alle ore desiderate.
Gli investigatori dicono che il Silenzio ha rubato più di $100.000, durante il loro primo successo cyber-heist. Altri hack seguendo lo stesso schema sono stati successivamente scoperti e risalire il Silenzio di gruppo, nei mesi seguenti, quali il furto di oltre $550,000 nel febbraio del 2018, e un altro $150.000 in aprile 2018.
Vedi anche: FIN6 torna ad attaccare rivenditore punto di sistemi di vendita in USA, Europa
Il gruppo si è mai successo, come altri gruppi criminali noto a destinazione istituzioni finanziarie, come il Cobalto, Buhtrap, o MoneyTraper, tutti legati al multi-milioni di dollari di rapine.
Il motivo, secondo Gruppo IB esperti, è che il Silenzio è solo un due-uomo-quindi, non hanno la stessa immensa risorse umane a buttare a loro bersagli in altri gruppi.
Questo è il motivo per cui ci sono voluti più di un anno per sviluppare l’ambiente di malware che utilizzato nel 2017 e, successivamente, BANCOMAT soldi erogazione di attacchi.
Timeline di Silenzio gli attacchi e gli strumenti
Gruppo IB
Ma è stato quando il Gruppo IB ricercatori hanno analizzato il gruppo intero malware arsenal che hanno scoperto che, pur essendo un due-man group, il Silenzio era in realtà piuttosto bene a ciò che ha fatto.
I ricercatori dicono che il gruppo è stato molto efficace nel creare spear-phishing. Questi spear-phishing e-mail utilizzato exploit per i seguenti Windows e Office vulnerabilità CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263, e CVE-2018-8174.
L’exploit impiantato il Silenzio modulare malware quadro sulla vittima sistemi. Il gruppo avrebbe utilizzato localmente installati strumenti per la ricognizione e il movimento laterale, e vorresti solo distribuire Atmosfera, quando sapevano che infetta il computer adeguato che correva BANCOMAT di software specifici.
Quando necessario, il gruppo avrebbe anche modificare manualmente il malware sviluppati da altri criminali, come il Kikothac backdoor, il Fumo downloader, o Undernet bot DDoS.
Gruppo IB dice che queste modifiche di terze parti malware sono ciò che ha portato i ricercatori a concludere che almeno uno del Silenzio membri del gruppo o ancora opere, in cyber-sicurezza.
Gruppo IB
Gruppo IB nome in codice del Silenzio membri del gruppo come Sviluppatore e L’Operatore. Dicono che l’ex sviluppate o modificate tutte le malware, mentre il secondo era quello li utilizza per infettare le banche e di svolgere l’hack.
Lo Sviluppatore, in particolare, ha mostrato una conoscenza avanzata delle famiglie di malware di reverse engineering e di competenze, ma mancava la conoscenza di scrivere di alta qualità codice da zero: una caratteristica tipica della maggior parte dei ricercatori di sicurezza, che trascorrono la maggior parte del loro tempo di reverse engineering codice degli altri, piuttosto che scrivere a loro.
“È ovvio che i criminali responsabili di questi crimini sono stati a un certo punto attivo nella comunità di sicurezza. Come penetration tester o reverse engineer”, ha detto Dmitry Volkov, Chief Technology Officer e responsabile di Threat Intelligence al Gruppo IB.
“[Sviluppatore] sa esattamente come lo sviluppo di software, ma lui non sa come programmare correttamente”.
Vedi anche: Questo malware si traveste da banca di sicurezza per razziare il tuo account
Come per il Silenzio dell’origine, Gruppo IB crede che i due siano basate in Russia o in un’altra lingua russa paese.
“Gruppo IB esperti hanno concluso che il Silenzio è un gruppo di lingua russa hacker, in base alle loro comandi di una lingua, per la posizione di infrastrutture, e la geografia dei loro obiettivi (Russia, Ucraina, Bielorussia, Azerbaigian, Polonia, Kazakistan),” il russo cyber-sicurezza ditta ha detto oggi in un comunicato stampa.
“Inoltre, il Silenzio utilizzato russo parole digitate su una tastiera inglese per i comandi dei lavoratori backdoor. Gli hacker hanno utilizzato anche in lingua russa di servizi di web hosting.”
Gruppo IB non condividere i nomi dei hacked banche, ma ha detto solo che “attacchi di successo attualmente sono stati limitati per il CIS e paesi dell’Est Europeo, anche se il gruppo di inviati di spear-phishing per le banche di tutto il mondo.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0