謎のハッカー集団”Money Taker”によるサイバー攻撃のレポートが公開。
https://www.group-ib.com/blog/moneytaker
ロシア系のハッカー集団が、過去2年の内に金融機関や弁護士事務所に20ものサイバー攻撃を成功させていた事が、Group IBの調査によって明らかになった。
Group IBはハッカー集団をMoney Takerと呼んでいる。
Money Takerによる攻撃の被害に遭ったのはアメリカ、イギリス、ロシアに拠点を持つ金融機関や弁護士事務所のようだ。
Group IBの調査によれば、今後Money Takerは、南アメリカの勘定系システム(STAR®)をターゲットにサイバー攻撃を仕掛ける可能性があるという。
そこで、この記事では”Money Taker”に関してまとめていきたい。
Money Takerが仕掛けた攻撃の数
Money Takerが過去2年の内に攻撃を仕掛けた企業の合計は20と言われている。
その内訳は、アメリカの企業が16社、ロシアの銀行が3行、そしてイギリスのIT企業が1社のようだ。
その名の通りMoneyをTakeする
Group IBの調査によれば、Money Takerが引き起こしたサイバー攻撃によって発生した損害額は、各サイバー攻撃につき平均$500,000。
単純に計算すると、およそ$10,000,000(1千万ドル=11億3千万 ※執筆時点)となる。
Money Takerという名前の通り、莫大な損害金額を金融機関に及ぼした事がわかるだろう。
巧妙で洗練されたサイバー攻撃を行う
Money Takerは、法執行機関やセキュリティ企業に検知されない為に、これまで継続的に使用ツールを変更し、サイバー攻撃の後は彼らの残した”足跡”を注意深く消去している。
Group IBの共同創始者のDmitry Volkov氏は、Money Takerのサイバー攻撃に関してこう語る。
Money Takerによるサイバー攻撃は世界各地で発生している。とあるアメリカの銀行からは、2回も機密文書が漏洩した。今後は更にMoney Takerによる攻撃が発生する事が予想される。
アメリカの10州に対して攻撃
最初のMoney Takerのアメリカ企業に対する攻撃は2016年に発生した。
Money TakerはFirst DataのSTAR®(勘定系システム)の管理者用ポータルサイトにアクセス。
それ以降、Money Takerはカリフォルニア州、ユタ州、オクラホマ州、コロラド州、イリノイ州、ミズーリ州、サウスカロライナ州、ノースカロライナ州、ヴァージニア州、フロリダ州の企業に対してサイバー攻撃を行なった。
(地図はGroup IBより引用。)
巧妙なスキーム
Group IBの調査では、Money Takerは”独自の金銭引き出しスキーム”を使用しているようだ。
具体的に言えば、サイバー攻撃をする際、1つの金銭取引に対して、1つの口座を使用しているというのだ。
更に、Money Takerはサイバー攻撃を仕掛けた後もターゲットとなった銀行を監視している。
Money Takerは、継続的に銀行から機密文書(管理者用の指示書、内部ルール、取引履歴など)を不正入手している事から、内部事情に関して常に最新の情報を握り続ける。
そうする事で、その後も繰り返し銀行へのサイバー攻撃を仕掛ける事が出来るのだろう。
悪名高いツールに加え、内製ツールも
Money Takerが多くのケースで使用しているとされるツールには、以下のものが挙げられる。
CitadelとKronosは、バンキングトロイとして知られており、ScanPOSは、その名の通りPOSシステムをターゲットにしたマルウェアである。
また、Money Takerは攻撃対象によって異なるツールを使い分けているようだ。
例えば、ロシアの銀行に対してサイバー攻撃を行なった際には、MoneyTaker v5.0という組織内製ツールを使用した。
MoneyTaker v5.0は非常に出来ており、主に2つのモジュールがターゲットに対して悪質な挙動をする。
一つ目は、「取引改ざんモジュール」である。
このモジュールは、ターゲットとなるネットワーク内で支払いオーダーの検索、支払金額の編集、支払い先の変更、変更履歴の抹消をする事ができる。
二つ目は、「取引隠ぺい」モジュール。
1つ目の「取引改ざん」モジュールが行なった支払いオーダーで発行される”引き落とし通知”を、改ざん前のオーダーで発生すべきものに差し替えてしまうのだ。
この2つのモジュールが機能することで、勘定系システムの台帳上では、あたかも問題なく金銭取引が行われているように見えてしまう。
Group-IBは、Money Takerに関する情報をEuropolとInterpolに引き渡しており、今後も調査が続いていくと思われる。