Nul
Group-IB
Mindst et medlem af et nyligt afdækkede it-kriminalitet hacking gruppe synes at være en tidligere eller en nuværende medarbejder i en cyber-sikkerhed, virksomheden, ifølge en ny rapport udgivet i dag.
Den rapport, der blev offentliggjort ved Moskva-baseret it-sikkerhed firma Group-IB, nedbryder den aktivitet af et tidligere urapporteret cyber-kriminelle gruppe med navnet Stilhed.
Ifølge Group-IB, som gruppen har brugt de sidste tre år, montering tavs cyber-angreb på finansielle institutioner i Rusland og Østeuropa.
Gruppen gik upåagtet hen i år, primært på grund af dets tilbøjelighed til at bruge legitime apps og værktøjer, der allerede findes på ofrenes computere, en taktik, der er kendt som “levende ud af landet.”
Men Tavshed kan også skabt deres egne redskaber, såsom:
Stilhed-en ramme for infrastruktur angreb;Atmosfære–et sæt af værktøjer til angreb på Pengeautomater;Farse–et værktøj til at få en adgangskode fra en kompromitteret computer;Renere–et værktøj til logs fjernelse.
Disse værktøjer, kombineret med koncernens lay-lav taktik hjalp det gå under radaren for langt længere end mange af sine kolleger.
Se også: Windows-værktøj, der bruges af malware i nye oplysninger tyveri kampagner
Efter et år lang undersøgelse af gruppen ‘ s modus operandi, Gruppe-IB siger, at gruppen har været knyttet til hacks, der går så langt tilbage som i 2016.
Den første registrerede hack henføres til Tavshed fandt sted i juli 2016. Hack var et mislykket forsøg på at hæve penge via de russiske inter-bank transaktion system kendt som AWS CBR (Automatiseret Arbejde Station Klient af den russiske Centralbank).
“Hackere har fået adgang til systemet, men angrebet var ikke vellykket på grund af forkert forberedelse af betaling for. Den
bankens medarbejdere suspenderet den transaktion,” Group-IB, der er beskrevet i rapporten.
Men bankens oprydning indsats ikke op til niveau, og Stilhed igen har fået adgang til den samme bank ‘ s netværk en måned senere, i August 2016. Denne gang, tog de en anden tilgang.
“[Tavshed] downloadet software til hemmeligt at tage screenshots og gav sig til at undersøge operatørens arbejde via video-stream. Denne gang, banken spurgte Group-IB til at reagere på hændelsen. Angreb
blev stoppet. Men, den fulde log af hændelsen var uoprettelig, fordi der i et forsøg på at rense netværk, bankens IT-team, slettede de fleste af hacker ‘ s spor,” Group-IB sagde.
Men den Stilhed gruppe ikke stoppe efter disse indledende klodset forsøg på hacking. De havde held til at hacke ind i en bank, og endelig stjæle nogle penge, mere end et år senere, i oktober 2017.
Ifølge Group-IB, gruppen stoppede med at forsøge at wire penge ved hjælp af AWS CBR-system, og skiftede til at målrette bankens HÆVEAUTOMAT kontrol-systemer, hvilket gør Pengeautomater udspy kontant (kendt som jackpotting), når den ønskede timer.
Efterforskere siger, at Tavshed stjal over $100.000 i løbet af deres første vellykkede cyber-heist. Andre hacks efter samme mønster blev senere opdaget, og kan spores tilbage til Tavshed gruppe i de følgende måneder, såsom tyveri af over $550,000 i februar 2018, og en anden $150.000 i April 2018.
Se også: FIN6 vender tilbage til angreb forhandler punkt for salg systemer i USA, Europa
Gruppen er ikke så vellykket som andre kriminelle grupper, kendt for at målrette finansielle institutioner, såsom Kobolt, Buhtrap, eller MoneyTraper, alle knyttet til en multi-million dollar kup.
Grunden til, ifølge Gruppen-IB-eksperter, er, at Tavshed er kun et to-mands-betjening –derfor, de har ikke de samme enorme menneskelige ressourcer til at smide på deres mål, som andre grupper gør.
Dette er grunden til, at det tog dem ikke mere end et år at udvikle Atmosfære malware, de bruges i 2017 og senere ATM penge-dispensering-angreb.
Tidslinje for Stilhed angreb og værktøjer
Group-IB
Men det var da Group-IB forskere analyseret gruppens hele malware arsenal, at de opdagede, at selvom det er en to-mands gruppe, Stilhed var faktisk temmelig god til, hvad det gjorde.
Forskere siger, at gruppen var meget effektiv i skabelsen af spyd-phishing-e-mails. Disse spyd-phishing-e-mails, brugte exploits for følgende Windows og Office sårbarheder CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263, og CVE-2018-8174.
De udnytter indopereret en Stilhed modulære malware rammer for offeret ‘ s systemer. Gruppen ville bruge en lokalt installeret værktøjer til rekognoscering og sideværts bevægelse, og ville kun indsætte Atmosfære, når de vidste, at de inficerede den rette computer, der kørte ATM-specifik software.
Når det er nødvendigt, at gruppen ville også manuelt ændre malware, der er udviklet af andre skurke, som Kikothac bagdør, Røg downloader, eller Undernet DDoS-bot.
Group-IB siger, at disse ændringer til tredjeparts malware er, hvad der førte sine forskere til at nå frem til den konklusion, at mindst én af Stilhed gruppe medlemmer, der bruges til, eller om det stadig virker, i cyber-sikkerhed industrien.
Group-IB
Group-IB med kodenavnet Stilhed gruppens medlemmer, som Udvikler og Operatør. De siger den tidligere udviklet eller modificeret alle gruppen ‘ s malware, mens sidstnævnte var en hjælp for dem at inficere banker og udføre hacks.
Den Udvikler, især viste avanceret viden om malware familier og reverse engineering færdigheder, men manglede viden til at skrive top-kvalitet-kode fra bunden-et typisk træk for de fleste sikkerhedseksperter, der tilbringer det meste af deres tid på reverse engineering andre folks kode, i stedet for at skrive deres egne.
“Det er indlysende, at kriminelle, der er ansvarlige for disse forbrydelser var på et tidspunkt aktive i sikkerhed samfund. Enten som penetration testere eller omvendt ingeniører,” siger Dmitry Volkov, der er Chief Technology Officer og Leder af Threat Intelligence på Group-IB.
“[Bygherren] ved præcis, hvordan at udvikle software, men han ved ikke, hvordan at programmet ordentligt.”
Se også: Denne malware forklædt som bankgaranti til raid din konto
Som for Stilhed oprindelse, Gruppe-IB mener, de to er baseret enten i Rusland eller en anden russisk-talende land.
“Group-IB eksperter konkluderede, at Stilhed er en gruppe af russisk-talende hackere, baseret på deres kommandoer sprog, placering af infrastrukturer, som de brugte, og de geografi af deres mål (Rusland, Ukraine, Hviderusland, Aserbajdsjan, Polen, Kasakhstan),” de russiske cyber-sikkerhed firma sagde i dag i en pressemeddelelse.
“Desuden, Stilhed, der anvendes russisk ord skrevet på et engelsk tastatur layout af kommandoer, der er ansat bagdør. Hackere kan også bruges russisk-sproget web-hosting-tjenester.”
Group-IB ikke dele navnene på de hackede banker, men kun sagt, at “en vellykket angreb i øjeblikket har været begrænset til SNG-landene og de Østeuropæiske lande,” selv om den gruppe, der blev sendt af spyd-phishing e-mails til banker over hele verden.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0