Μια ρωσική cybercriminal ομάδα που αποτελείται από υψηλής εξειδίκευσης χάκερ έχει πραγματοποιήσει στοχευμένες επιθέσεις σε χρηματοπιστωτικά ιδρύματα, κλέβοντας περίπου 25 εκατομμύρια δολλάρια από το 2013, χρησιμοποιώντας το Anunak, ένα Trojan που χτίστηκε με κώδικα από το περίφημο Carberp.

Περισσότερες από 50 ρωσικές τράπεζες και πέντε συστήματα πληρωμών έχουν παραβιαστεί, αλλά φαίνεται ότι το 2014 το ενδιαφέρον της ομάδας στράφηκε στις ΗΠΑ και τις ευρωπαϊκές επιχειρήσεις λιανικής, οι οποίες παραβιάστηκαν με χρήση κακόβουλου λογισμικού για τερματικά PoS.

Οι χάκερ πραγματοποίησαν επιθέσεις τύπου spear-phishing για να παραβιάσουν το στοχευμένο δίκτυο και κάθε επιτυχής επίθεσει εξασφάλιζε την κλοπή 2 εκατομμυρίων δολλαρίων κατά μέσο όρο. Οι χάκερ στόχευαν χρήστες με δικαιώματα διαχειριστή, όπως τους μηχανικούς τεχνικής υποστήριξης και συνέχισαν να κινούνται εντός του δικτύου, μέχρι να αποκτήσουν πρόσβαση στους servers και τα τερματικά διαχείρισης του τραπεζικού συστήματος.

Η παραβίαση των e-mail servers ήταν επίσης μέρος των ενεργειών τους, με σκοπό τον έλεγχο της εσωτερικής επικοινωνίας. “Αυτή η προσέγγιση τους επέτρεψε να ενημερώνονται για το πότε εντοπίστηκε η δραστηριότητά τους στο δίκτυο, ποια τεχνική χρησιμοποιήθηκε για να εντοπίσουν τη δραστηριότητα αυτή και ποιά μέτρα έλαβαν οι τραπεζικοί υπάλληλοι για την αντιμετώπιση του ζητήματος”, αναφέρει μια έκθεση με βάση τα ευρήματα της εταιρείας ασφάλειας Group-IB

και της Fox-IT.

Μέσω της παρακολούθησης της δραστηριότητας της ομάδας των χάκερ, οι ερευνητές ασφαλείας ανακάλυψαν ότι τα κύρια μέλη είναι πολίτες της Ρωσίας και ουκρανικής καταγωγής, αλλά συνεργάστηκαν με άλλους κυβερνοεγκληματίες, όπως με botnet operators, για τη διανομή κακόβουλων προγραμμάτων.

Ωστόσο, παρατηρήθηκε ότι το Anunak Trojan που δημιουργήθηκε τον Αύγουστο του 2014, με δικό τους botnet, έπληξε πάνω από 500.000 υπολογιστές κατά το πρώτο εξάμηνο του έτους.

Μόλις οι χάκερς αποκτούσαν πρόσβαση στο εσωτερικό δίκτυο της τράπεζας, προσπαθούσαν να αποκτήσουν τον πλήρη έλεγχο επί των συναλλαγών, καθώς και το δίκτυο των ΑΤΜ που άνηκαν στον στόχο.

Οι χάκερ χρειάζονταν κατά μέσο όρο 42 ημέρες από τη στιγμή της παραβίασης ενός στόχου μέχρι να καταφέρουν να αποσπάσουν χρήματα.

Εκτός από τις κλοπές των τραπεζών και των εμπόρων λιανικής πώλησης, η ομάδα Anunak έχει επίσης εμπλακεί σε πράξεις κατασκοπείας στον κυβερνοχώρο ενώ οι στόχοι ήταν κυβερνητικές υπηρεσίες, σύμφωνα με τους ερευνητές.

Οι διακομιστές που χρησιμοποιήθηκαν από τους εγκληματίες του κυβερνοχώρου εντοπίστηκαν στο Καζακστάν, τη Γερμανία και την Ουκρανία και ανήκαν σε μια υπηρεσία η οποία προσέφερε επίσης δρομολόγηση της κίνησης μέσω του δικτύου TOR και διακομιστών VPN.