Хакеры взламывают АЗС и банковские роутеры

Еще три года назад специалисты компании TrendMicro предупреждали о том, что автозаправки многих стран мира теперь имеют подключение к сети и неизбежно будут становиться объектами хакерских атак. Хуже того, даже в 2015 году обнаружить такие системы можно было ценой минимальных усилий, с помощью Shodan и других подобных ресурсов.

Похоже, прогнозы экспертов о том, что в будущем подобные атаки станут обычным делом, начинают понемногу претворяться в жизнь. В конце прошлой недели американский телеканал WJBK ]]>рассказал]]> о странном происшествии на заправке в Детройте.

Инцидент произошел днем 23 июня 2018 года. Из-под контроля служащего автозаправочной станции вышел насос, который более полутора часов раздавал бесплатное топливо всем желающим, так как система не реагировала ни на какие команды. Странным сбоем успели воспользоваться более десяти автовладельцев, которые заправились в общей сложности на 1800 долларов США. После работник заправки все же прекратил подачу топлива с помощью «экстренного набора», а затем вызвал полицию.

Правоохранительные органы считают, что системы заправки были умышлено скомпрометированы с помощью некоего удаленного устройства. Предполагается, что девайс отрезал от управления топливным насосом сотрудников заправки и активировал бесплатную подачу бензина. В настоящее время полиция проверяет машины и водителей, которые попали в объективы камер видеонаблюдения во время инцидента.

Судя по всему, правоохранители полагают, что взлом осуществили ради бесплатного бензина. Эта теория, возможно, недалека от истины, — журналисты WJBK отмечают в своем репортаже, что даже на YouTube можно найти множество подробных инструкций по обману современных АЗС и получению бесплатного или очень дешевого бензина.

Британское издание The Register, так же посвятившее случившемуся небольшую заметку, сообщает, что, по мнению ИБ-специалистов, причиной происшедшего мог стать и простой технический сбой. Однако помимо этого издание приводит и комментарий читателя, который более 10 лет занимается технической поддержкой автозаправочный станций. Тот утверждает, что злоумышленники могли переключить насосы в режим отладки, во время активации которого оборудование АЗС действительно перестает сообщать о подаче топлива кассовым терминалам и фактически работает автономно.

Специалист пишет, что у него самого есть устройство, способное осуществить тот же трюк на большинстве британских заправок. По его словам, производители начали защищать свое оборудование от подобных несанкционированных подключений сравнительно недавно, так как данная индустрия не слишком велика, а пароли и специализированная аппаратура попадают «не в те руки» довольно редко.

Из российского банка украли $1 млн через старый роутер

Хакеры взломали российский банк и вывели из него почти миллион долларов, используя давно устаревший роутер. Жертвой стала московская кредитная организация ПИР банк.

Старый роутер и денежные мулы

Российская компания Group-IB опубликовала результаты расследования инцидента в ПИР банке, в результате которого кредитная организация лишилась почти $1 млн. Атака была совершена еще в начале июля 2018 г. Тогда с корсчета ПИР банка в Банке России хакеры вывели около 58 млн руб., распределив их по счетам в 22 крупнейших банках с последующим оперативным обналичиванием украденного.

 

Из российского банка украли http://img12.txapela.ru/0/e/d/f/7/70d28754b430350e99e1f545d5d_prev.jpg млн через старый роутер

 

Эксперты Group-IB заявили, что за атакой стояли участники киберкриминальной группировки MoneyTaker, которые уже два года терроризируют банки в США и России.

Злоумышленникам удалось захватить контроль над старым, уязвимым роутером в одном из региональных подразделений банка и с его помощью смогли проникнуть в локальную сеть организации. Группировка Money Taker использовала этот метод уже как минимум трижды.

Просочившись во внутренние сети банка, хакеры с помощью вредоносных программ обеспечили себе там устойчивое присутствие. Им также удалось подключиться к автоматизированному рабочему месту клиента Банка России (АРМ КБР), тем самым получив возможность выводить деньги с корсчета ПИР банка.

 

Следы замести не удалось

В ночь с 3 на 4 июля 2018 г. злоумышленники осуществили вывод средств. Спустя несколько часов они все уже были обналичены так называемыми денежными мулами в банкоматах по всей стране. Злоумышленники также успели очистить системные журналы ОС, журналы прикладных систем и удалить ряд системных файлов на множестве компьютеров ПИР-банка, — все для того, чтобы замести следы.

«Утром 4 июля, обнаружив многочисленные несанкционированные транзакции в общей сложности на несколько десятков миллионов рублей, сотрудники банка обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР, однако оперативно приостановить все финансовые переводы не удалось. Большая часть украденных средств была переведена на несколько десятков карт крупнейших банков России и сразу же обналичена сообщниками хакеров — мулами, привлекаемыми к финальному этапу вывода денег из банкоматов», — говорится в отчете Group-IB.

Несмотря на попытки преступников скрыть следы преступления, киберкриминалисты Group-IB смогли пошагово отследить все их действия и установить использованные инструменты.

Выяснилось также, что злоумышленники оставили на серверах ряд так называемых реверсшеллов (reverse shell), программ, которые подключались к серверам, контролируемым злоумышленниками, и ожидали новых команд. Очевидно, хакеры планировали вернуться «за добавкой». Но все эти программы были вычищены из сети банка.

 

Carbanak не виноват

Примечательно, что ранее глава Сбербанка Герман Греф заявил, что атаку на ПИР банк совершила группировка Carbanak. Эксперты Group-IB опровергают эту информацию, но отмечают, что группа MoneyTaker ничуть не менее опасна и что, помимо денег, злоумышленников часто интересует документация о системах межбанковских платежей, которая затем используется для подготовки дальнейших атак.

 

«Совершенно очевидно, что мы имеем дело с международной группировкой, которая имеет достаточные ресурсы для проведения весьма масштабных операций, включающих найм “денежных мулов” по всему миру, — считает Дмитрий Гвоздев, генеральный директор компании “Информационные технологии будущего”. — Пока трудно сказать, действует ли группировка MoneyTaker, исходя из исключительно финансовых интересов, или, как это становится модным в последнее время, преследует также какие-то политические цели, но для жертв их атак это и не так важно.

Важнее — быть готовыми противостоять подобным атакам. От целевой атаки сложно защититься, но нужно хотя бы соблюдать правила гигиены информбезопасности — отслеживать собственный парк устройств и новости о выявленных в них уязвимостях, включая zeroday, и минимизировать количество возможных “точек входа” за счет своевременного обновления прошивок, создания патчей для маршрутизаторов и других устройств интернета вещей.

Нажмите Подписаться на канал, чтобы не пропустить наши новые видео.