Noll
Grupp-IB
Minst en ledamot av en nyligen upptäckt it-relaterad brottslighet hacka gruppen verkar vara en före detta eller nuvarande anställda i en cyber-bevakningsföretag, enligt en ny rapport som släpps idag.
Rapporten, som publiceras av Moskva-baserade it-säkerhetsföretaget Group-IB, bryter ner verksamheten i en tidigare ej redovisad cyber-kriminella grupp som heter Tystnad.
Enligt Gruppen-IB koncernen har tillbringat de senaste tre åren montering tyst cyber-attacker mot finansiella institutioner i Ryssland och Östra Europa.
Gruppen gick oupptäckt i år, främst på grund av dess benägenhet för att använda legitima appar och verktyg som redan finns på offrens datorer, en taktik som kallas “leva på landet.”
Men Tystnad skapade också sina egna verktyg, såsom:
Tystnad-en ram för infrastruktur attacker, Atmosfären–en uppsättning av programvara verktyg för attacker på Uttagsautomater;Fars–ett verktyg för att få lösenord från en smittad dator, Renare–ett verktyg för loggar borttagning.
Dessa verktyg, tillsammans med koncernens låg-låg taktik hjälpte det gå under radarn för långt längre än många av sina motparter.
Se även: Windows-verktyg som används av skadlig kod i ny information stöld kampanjer
Efter ett år lång undersökning av koncernens modus operandi, Grupp-IB berättar att gruppen har varit kopplade till hacks som går så långt tillbaka som till år 2016.
Den första inspelade hacka hänföras till Tystnad ägde rum i juli 2016. Hacka var ett misslyckat försök att ta ut pengar via den ryska inter-bank transaktion system som kallas AWS CBR (Automatisk arbetsplats Klient av den ryska centralbanken).
“Hackare har fått tillgång till systemet, men attacken var inte framgångsrik på grund av felaktig beredning av betalningsordern. Den
bankens anställda avbrutit transaktionen,” Grupp-IB förklarade i sin rapport.
Men bankens åtgärderna inte upp till par, och Tystnad återtog tillgång till samma bank nätverk en månad senare, i augusti 2016. Denna gång tog de en annan metod.
“[Tystnad] hämtat programvaran för att i hemlighet ta skärmdumpar och fortsatte att undersöka operatörens arbete via video. Denna tid, banken bett universitetet att reagera på händelsen. Attack
stoppades. Dock fullständig logg för den händelsen var allvarligt, eftersom det i ett försök att rensa nätverk, IT-team bort majoriteten av angriparens spår,” Grupp-IB sade.
Men Tystnaden gruppen slutade inte efter dessa inledande klumpiga försök till dataintrång. De lyckades hacka sig in på en bank och slutligen stjäla lite pengar, mer än ett år senare, i oktober 2017.
Enligt Gruppen-IB koncernen slutat att försöka tråd pengar med hjälp av AWS CBR-systemet och kopplas till inriktning bankens UTTAGSAUTOMAT styrsystem, vilket gör Uttagsautomater spyr ut kontanter (känd som jackpotting) på önskad timmar.
Utredarna säger att Tystnad vann över $100 000 under sina första framgångsrika it-heist. Andra hackar följer samma mönster har senare upptäckt, och spåras tillbaka till Tystnaden group under de följande månaderna, såsom stöld av över 550 000 dollar i februari 2018, och ytterligare $150 000 i April 2018.
Se även: FIN6 återgår till attack återförsäljare point of sale-system i USA, Europa
Koncernen är inte alls lika framgångsrikt som andra kriminella grupper kända för att målet finansiella institutioner, till exempel Kobolt, Buhtrap, eller MoneyTraper, alla är kopplade till flera miljoner dollar heists.
Anledningen, enligt Gruppen-IB experter, är att Tystnaden är bara två man, drift –därför att de inte har samma stora mänskliga resurser för att kasta på sina mål som andra grupper gör.
Detta är anledningen till att det tog dem mer än ett år att utveckla den Atmosfär skadlig kod som de som används i 2017 och senare ATM-pengar-dosering attacker.
Tidslinje av Tystnad attacker och verktyg
Grupp-IB
Men det var när Gruppen-IB forskare analyserat koncernens hela malware arsenal som de upptäckte att trots att en två-man group, Tystnad var faktiskt ganska bra på vad det gjorde.
Forskare säger att gruppen var mycket effektiv på crafting spear-phishing e-post. Dessa spear-phishing e-postmeddelanden som används utnyttjar för följande Windows-och Office-sårbarheter CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263, och CVE-2018-8174.
De utnyttjar inopererad Tystnaden modulära malware ram på offrets system. Gruppen skulle använda lokalt installerade verktyg för spanings-och sidled, och skulle endast distribuera Atmosfär när de visste att de smittade rätt dator som sprang ATM-specifika program.
När det behövs, den gruppen skulle också manuellt ändra skadlig programvara som utvecklats av andra skurkar, sådana som Kikothac bakdörr, Rök downloader, eller Undernet DDoS-bot.
Grupp-IB säger att dessa ändringar till tredje part malware är det som fick forskarna att dra slutsatsen att åtminstone en av Tystnad grupp medlemmar som används till, eller fungerar fortfarande, i it-säkerhetsbranschen.
Grupp-IB
Grupp-IB kodnamnet Tystnad gruppens medlemmar som Utvecklare och Operatör. De säger att den tidigare utvecklats eller modifierats alla koncernens malware, medan den senare var en hjälp för dem att infektera banker och utföra hacka.
Utvecklaren, i synnerhet visade avancerad kunskap om skadlig programvara familjer och omvänd ingenjörskonst, men saknade kunskap för att skriva av högsta kvalitet kod från grunden-ett typiskt drag för de flesta säkerhet forskare, som tillbringar merparten av sin tid reverse engineering andras kod, snarare än att skriva sina egna.
“Det är uppenbart att de brottslingar som är ansvariga för dessa brott var någon gång aktiv i säkerhet. Antingen så anal testare eller omvänd ingenjörer”, sade Vladimir Volkov, Chief Technology Officer och Chef för Hot Intelligens på Grupp-IB.
“[Utvecklaren] vet exakt hur de ska utveckla programvara, men han vet inte hur man programmet på rätt sätt.”
Se även: Detta malware döljer sig som bank security raid ditt konto
Som Tystnad, ursprung, Grupp-IB anser att de två är baserade antingen i Ryssland eller annan rysk-talande land.
“Grupp-IB experterna att Tystnad är en grupp av ryska hackare, baserat på deras kommandon språk, lokalisering av infrastruktur de används, och geografi sina mål (Ryssland, Ukraina, Vitryssland, Azerbajdzjan, Polen och Kazakstan),” den ryska cyber-bevakningsföretag sade i dag i ett pressmeddelande.
“Dessutom, Tystnaden som används för ryska ord skrivit på en engelsk tangentbordslayout för de kommandon som sysselsatta bakdörr. Hackare också används ryska webbhotell.”
Grupp-IB inte dela namnen på de hackade banker men bara sagt att “framgångsrika attacker för närvarande har begränsats till oss och Östeuropeiska länder”, även om gruppen som skickas spear-phishing e-post till banker över hela världen.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0