謎のハッカー集団”Money Taker”によるサイバー攻撃のレポートが公開。

f:id:nanashi0x:20171212214243p:plain

https://www.group-ib.com/blog/moneytaker

ロシア系のハッカー集団が、過去2年の内に金融機関や弁護士事務所に20ものサイバー攻撃を成功させていた事が、Group IBの調査によって明らかになった。

Group IBはハッカー集団をMoney Takerと呼んでいる。

Money Takerによる攻撃の被害に遭ったのはアメリカ、イギリス、ロシアに拠点を持つ金融機関や弁護士事務所のようだ。

Group IBの調査によれば、今後Money Takerは、南アメリカの勘定系システム(STAR®)をターゲットにサイバー攻撃を仕掛ける可能性があるという。

そこで、この記事では”Money Taker”に関してまとめていきたい。

 

Money Takerが仕掛けた攻撃の数

Money Takerが過去2年の内に攻撃を仕掛けた企業の合計は20と言われている。

その内訳は、アメリカの企業が16社、ロシアの銀行が3行、そしてイギリスのIT企業が1社のようだ。

 

その名の通りMoneyをTakeする

Group IBの調査によれば、Money Takerが引き起こしたサイバー攻撃によって発生した損害額は、各サイバー攻撃につき平均$500,000。

単純に計算すると、およそ$10,000,000(1千万ドル=11億3千万 ※執筆時点)となる。

Money Takerという名前の通り、莫大な損害金額を金融機関に及ぼした事がわかるだろう。

 

巧妙で洗練されたサイバー攻撃を行う

Money Takerは、法執行機関やセキュリティ企業に検知されない為に、これまで継続的に使用ツールを変更し、サイバー攻撃の後は彼らの残した”足跡”を注意深く消去している。

Group IBの共同創始者のDmitry Volkov氏は、Money Takerのサイバー攻撃に関してこう語る。

Money Takerによるサイバー攻撃は世界各地で発生している。とあるアメリカの銀行からは、2回も機密文書が漏洩した。今後は更にMoney Takerによる攻撃が発生する事が予想される。

 

アメリカの10州に対して攻撃

最初のMoney Takerのアメリカ企業に対する攻撃は2016年に発生した。

Money TakerはFirst DataのSTAR®(勘定系システム)の管理者用ポータルサイトにアクセス。

それ以降、Money Takerはカリフォルニア州ユタ州オクラホマ州コロラド州イリノイ州ミズーリ州サウスカロライナ州ノースカロライナ州ヴァージニア州フロリダ州の企業に対してサイバー攻撃を行なった。

(地図はGroup IBより引用。)

f:id:nanashi0x:20171212215046p:plain

 

巧妙なスキーム

Group IBの調査では、Money Takerは”独自の金銭引き出しスキーム”を使用しているようだ。

具体的に言えば、サイバー攻撃をする際、1つの金銭取引に対して、1つの口座を使用しているというのだ。

更に、Money Takerはサイバー攻撃を仕掛けた後もターゲットとなった銀行を監視している。

Money Takerは、継続的に銀行から機密文書(管理者用の指示書、内部ルール、取引履歴など)を不正入手している事から、内部事情に関して常に最新の情報を握り続ける。

そうする事で、その後も繰り返し銀行へのサイバー攻撃を仕掛ける事が出来るのだろう。

 

悪名高いツールに加え、内製ツールも

Money Takerが多くのケースで使用しているとされるツールには、以下のものが挙げられる。

CitadelとKronosは、バンキングトロイとして知られており、ScanPOSは、その名の通りPOSシステムをターゲットにしたマルウェアである。

また、Money Takerは攻撃対象によって異なるツールを使い分けているようだ。

例えば、ロシアの銀行に対してサイバー攻撃を行なった際には、MoneyTaker v5.0という組織内製ツールを使用した。

MoneyTaker v5.0は非常に出来ており、主に2つのモジュールがターゲットに対して悪質な挙動をする。

一つ目は、「取引改ざんモジュール」である。

このモジュールは、ターゲットとなるネットワーク内で支払いオーダーの検索、支払金額の編集、支払い先の変更、変更履歴の抹消をする事ができる。

二つ目は、「取引隠ぺい」モジュール。

1つ目の「取引改ざん」モジュールが行なった支払いオーダーで発行される”引き落とし通知”を、改ざん前のオーダーで発生すべきものに差し替えてしまうのだ。

この2つのモジュールが機能することで、勘定系システムの台帳上では、あたかも問題なく金銭取引が行われているように見えてしまう。

 

Group-IBは、Money Takerに関する情報をEuropolとInterpolに引き渡しており、今後も調査が続いていくと思われる。