2020-08-15 02:10 (토)
해커 그룹 'MoneyTaker', 은행 해킹해 1백만 달러를 훔친 방법
상태바
해커 그룹 'MoneyTaker', 은행 해킹해 1백만 달러를 훔친 방법
  • 길민권 기자
  • 승인 2018.07.23 12:30
이 기사를 공유합니다

이 해킹그룹, 지난 3년 동안 은행으로부터 수 천만 달러 훔친 것으로 추청

aaaa-9.jpg
악명높은 해커 그룹 'MoneyTaker'가 구버전 라우터를 통해 한 러시아 은행의 네트워크에 침투해 약 1백만달러를 훔친 것으로 조사됐다.

해킹 피해를 입은 은행은 PIR Bank이며, Bank of Russia의 계좌에 저장해 두었던 돈 중 최소 $920,000을 잃었다.

이 사건을 조사한 러시아 사이버 보안 업체인 Group-IB는 PIR Bank의 감염 된 워크스테이션 및 서버를 조사 결과 범인이 MoneyTaker라는 부정할 수 없는 디지털 증거를 찾았다고 밝혔다.

전문가들은 이 그룹을 2016년부터 미국, 영국, 러시아 은행 및 금융 기관에서 벌어진 도난 사건과 연결 시켰다. Group-IB에 따르면, 은행에 타격을 입힌 MoneyTaker의 공격은 First Data STAR Network 및 AWS CBR(Automated Work Station Client of the Russian Central Bank)시스템과 같은 자금 이체 및 카드 처리 시스템에 침투하는데 집중했다.

해커들은 지난 5월 말 은행의 지점들 중 하나의 구버전 라우터를 통해 PIR Bank의 네트워크에 침투했다.

보안연구원들은 “해당 라우터에는 공격자가 은행의 로컬 네트워크에 직접 접근할 수 있는 터널이 있었다. 이 기술은 MoneyTaker의 특징이라고 할 수 있다. 이러한 전략은 지점의 네트워크를 통해 은행을 공격하는데 최소 3회정도 사용되었다”고 설명했다.

그 다음, 해커는 라우터를 사용해 은행의 로컬 네트워크를 악성코드에 감염시켰다. 이후 PowerShell 스크립트를 사용해 지속성을 얻고 탐지 되지 않은 채 악성 작업을 수행했다.

해커는 PIR Bank의 메인 네트워크에 마침내 침투한 후, 금융 거래를 제어하는데 필요한 시스템인 AWS CBR 계정에도 접근할 수 있는 권한을 얻었다.

7월 3일, MoneyTaker는 이 시스템을 사용해 Bank of Russia의 PIR Bank 소유 계좌에서 미리 생성한 계좌 17개로 자금을 이체했다. 훔친 자금이 이 계좌에 도달한 후, 현금 운반책들이 러시아 전역의 ATM에서 돈을 인출했다.

PIR Bank의 직원들은 1일 후인 7월 4일 이번 해킹을 발견했다. 하지만 이를 발견했을 때는 거래를 되돌리기에는 너무 늦은 상태였다.

MoneyTaker는 늘 하던 대로 감염 된 컴퓨터에서 그들의 흔적을 지우려 시도했지만, 연구원들은 이 그룹이 해킹 된 컴퓨터에 접근하는데 사용한 리버스 쉘을 발견했다고 밝혔다.

러시아에서 발생한 MoneyTaker 해킹 사건은 이번이 처음이 아니었다.

연구원들은 “2018년 초부터 지금까지 발생한 러시아 은행의 도난 사건은 이번이 처음이 아니다. 우리는 유사한 사건들을 최소 3개 정도 알고 있지만, 조사가 완료 되기 전 까지는 자세한 내용을 공개할 수 없다"고 전했다.

연구원들은 2018년 발생한 러시아 은행 해킹 사건들 중 최소 2건이 MoneyTaker 그룹의 소행이라고 밝혔다.

이 그룹의 활동은 매우 추적하기 힘들다. 악성 행위를 위해 실제 악성코드를 사용하기 보다 흔한 OS 유틸리티를 사용하기 때문이다. 또한 그들은 로그를 삭제하며, 미리 은행의 네트워크 및 시스템을 연구하고 은행의 업무를 이해하기 위해 문서를 훔치기도 한다.

이들은 지난 3년 동안 은행으로부터 수 천만 달러를 훔친 것으로 추측 된다. 평균 손실 금액은 미국에서 일어난 사건 당 $50만 달러이며, 러시아에서 일어난 사건 당 1.2백만 달러 수준이다.

이 그룹은 과거 미국 은행 15곳, 미국의 서비스 제공 업체 1곳, 영국의 소프트웨어 회사 1곳, 러시아 은행 5곳, 러시아 법률 회사 1곳을 공격했다. (정보. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★