포스팅 내용

국내외 보안동향

해커들, 러시아의 은행 해킹해 1백만 달러 훔쳐; 원인은 구버전의 라우터

Hackers Breach Russian Bank and Steal $1 Million Due to Outdated Router


MoneyTaker라 알려진 악명높은 해커 그룹이 구버전 라우터를 통해 한 러시아 은행의 네트워크에 침투해 약 1백만달러를 훔쳤습니다.


해킹의 피해를 입은 은행은 PIR Bank이며, Bank of Russia의 계좌에 저장해 두었던 돈 중 최소 $920,000을 잃었습니다.


이 사건을 조사한 러시아의 사이버 보안 업체인 Group-IB는 PIR Bank의 감염 된 워크스테이션 및 서버를 조사 결과 “범인이 MoneyTaker라는 부정할 수 없는 디지털 증거”를 찾았다고 밝혔습니다.


전문가들은 이 그룹을 2016년부터 미국, 영국, 러시아 은행 및 금융 기관에서 벌어진 도난 사건과 연결 시켰습니다. Group-IB에 따르면, 은행에 타격을 입힌 MoneyTaker의 공격은 First Data STAR Network 및 AWS CBR(Automated Work Station Client of the Russian Central Bank)시스템과 같은 자금 이체 및 카드 처리 시스템에 침투하는데 집중했습니다.


해킹 진행 방식


해커들은 지난 5월 말 은행의 지점들 중 하나의 구버전 라우터를 통해 PIR Bank의 네트워크에 침투했습니다.

“해당 라우터에는 공격자가 은행의 로컬 네트워크에 직접 접근할 수 있는 터널이 있었습니다.”


“이 기술은 MoneyTaker의 특징이라고 할 수 있습니다. 이러한 전략은 지점의 네트워크를 통해 은행을 공격하는데 최소 3회정도 사용되었습니다.”


그런 다음, 해커는 라우터를 사용해 은행의 로컬 네트워크를 악성코드에 감염시켰습니다. 이후 PowerShell 스크립트를 사용해 지속성을 얻고 탐지 되지 않은 채 악성 작업을 수행했습니다.


해커는 PIR Bank의 메인 네트워크에 마침내 침투한 후, 금융 거래를 제어하는데 필요한 시스템인 AWS CBR 계정에도 접근할 수 있는 권한을 얻었습니다.


7월 3일, MoneyTaker는 이 시스템을 사용해 Bank of Russia의 PIR Bank 소유 계좌에서 미리 생성한 계좌 17개로 자금을 이체했습니다. 훔친 자금이 이 계좌에 도달한 후, 현금 운반책들이 러시아 전역의 ATM에서 돈을 인출했습니다.


PIR Bank의 직원들은 1일 후인 7월 4일 이 해킹을 발견했습니다. 하지만 이를 발견했을 때는 거래를 되돌리기에는 너무 늦은 상태였습니다.


MoneyTaker는 늘 하던 대로 감염 된 컴퓨터에서 그들의 흔적을 지우려 시도했지만, 연구원들은 이 그룹이 해킹 된 컴퓨터에 접근하는데 사용한 리버스 쉘을 발견했다고 밝혔습니다.



러시아에서 발생한 MoneyTaker 해킹 사건은 이번이 처음이 아니었습니다.


“2018년 초부터 지금까지 발생한 러시아 은행의 도난 사건은 이번이 처음이 아닙니다. 우리는 유사한 사건들 최소 3개에 대해 알고 있지만, 조사가 완료 되기 전 까지는 자세한 내용을 공개할 수 없습니다.”


연구원들은 2018년 발생한 러시아 은행 해킹 사건들 중 최소 2건이 MoneyTaker 그룹의 소행이라고 밝혔습니다.


이 그룹의 활동은 매우 추적하기 힘듭니다. 악성 행위를 위해 실제 악성코드를 사용하기 보다 흔한 OS 유틸리티를 사용하기 때문입니다. 또한 그들은 로그를 삭제하며, 미리 은행의 네트워크 및 시스템을 연구하고 은행의 업무를 이해하기 위해 문서를 훔치기도 합니다.


이들은 지난 3년 동안 은행으로부터 수 천만 달러를 훔친 것으로 추측 됩니다. 평균 손실 금액은 미국에서 일어난 사건 당 $50만 달러이며, 러시아에서 일어난 사건 당 1.2백만 달러입니다.


이 그룹은 과거 미국 은행 15곳, 미국의 서비스 제공 업체 1곳, 영국의 소프트웨어 회사 1곳, 러시아 은행 5곳, 러시아 법률 회사 1곳을 공격했습니다. 아래는 MoneyTaker의 과거 해킹 사건을 보여주는 차트입니다. (2017년 12월 마지막으로 업데이트 되었습니다.)





출처 :

https://www.bleepingcomputer.com/news/security/hackers-breach-russian-bank-and-steal-1-million-due-to-outdated-router/

https://www.group-ib.com/resources/reports/money-taker.html

티스토리 방명록 작성
name password homepage