Hacker Bobol Bank Rusia Satunya Menggunakan Script "Power Shell"

Grup peretas yang produktif telah menyerang lagi, kali ini mencuri hampir USD1 juta dari PIR Bank Rusia. Perampokan maya 3 Juli terjadi sekitar lima minggu setelah peretas canggih pertama kali mendapatkan akses ke jaringan bank dengan mengorbankan router vuln yang digunakan oleh cabang regional.

Pencurian — yang menurut laporan situs lokal Rusia Kommersant diperkirakan secara konservatif mengumpulkan sekitar  USD910.000 — adalah pencapaian terbaru dari kelompok peneliti di perusahaan keamanan Grup-IB yang disebut diotaki Group  MoneyTaker. Dalam laporan yang diterbitkan November lalu yang pertama kali merinci kelompok itu, para peneliti mengatakan anggotanya telah melakukan 20 serangan yang berhasil terhadap lembaga keuangan dan perusahaan hukum di AS, Inggris, dan Rusia. Dalam laporan lanjutan, Group-IB mengatakan MoneyTaker menjaringkan sekitar $ 14 juta dalam peretasan, 16 diantaranya dilakukan pada target dia AS, lima di bank Rusia, dan satu di perusahaan perangkat lunak perbankan di Inggris.

Sementara hacker Group MoneyTaker terampil dalam menyembunyikan aktivitasnya, Grup-IB dapat menghubungkan perampokan maya dengan menelusuri seperangkat taktik, teknik, dan prosedur umum. Setelah awalnya mendapatkan akses ke jaringan target, anggota sering menghabiskan waktu berbulan-bulan melakukan pengintaian dalam upaya untuk meningkatkan hak istimewa sistem kepada administrator domain. Anggota juga mencoba untuk tetap aktif di dalam jaringan yang diretas lama setelah pencurian dilakukan. Para penyerang juga menggunakan berbagai alat yang tersedia secara bebas yang populer di kalangan peretas dan profesional security, termasuk framework Metasploit exploit, framework manajemen PowerShell Microsoft, dan berbagai script dibangun dengan Visual Basic.

Para haker juga menggunakan beberapa malware yang dibuat khusus, termasuk costum software mereka, MoneyTaker v5.0. Sebagian besar malware itu "tanpa filet", artinya hanya ada di memori komputer dan tidak disimpan di hard drive. Infrastruktur perintah-dan-kontrol terdistribusi mereka mencakup server yang hanya mengirimkan muatan ke alamat IP yang masuk daftar putih oleh grup. Hacking sebelumnya dari jaringan internal bank Rusia dimulai dengan mendapatkan akses ke komputer rumah dari salah satu admin sistemnya.

Serangan bulan ini di Bank PIR sesuai dengan pola yang sama. Menurut rilis email dari Grup-IB mengungkapkan:

Dari Incident Response, Group-IB mengonfirmasi bahwa serangan terhadap PIR Bank dimulai pada akhir Mei 2018. Titik masuk adalah router yang diretas yang digunakan oleh salah satu cabang regional bank. Router memiliki Tunnel yang memungkinkan penyerang untuk mendapatkan akses langsung ke jaringan lokal bank. Teknik ini adalah karakteristik MoneyTaker. Skema ini telah digunakan oleh kelompok ini setidaknya tiga kali ketika menyerang bank dengan jaringan cabang regional.

Untuk membangun ketekunan dalam sistem bank dan mengotomatiskan beberapa tahap serangan mereka, kelompok MoneyTaker secara tradisional menggunakan Script PowerShell. Teknik ini dianalisis secara rinci oleh para ahli Grup-IB dalam laporan bulan Desember mereka. Ketika para penjahat meretas jaringan utama bank, mereka berhasil mendapatkan akses ke AWS CBR (Automated Work Station Client dari Bank Sentral Rusia), menghasilkan pesanan pembayaran, dan mengirim uang dalam beberapa tahapan ke akun-akun penadah yang disiapkan sebelumnya.

Pada malam 4 Juli, ketika karyawan bank menemukan transaksi tidak sah dengan jumlah besar, mereka meminta regulator untuk memblokir kunci tanda tangan digital AWS CBR tetapi gagal menghentikan transfer keuangan tepat waktu. Sebagian besar uang yang dicuri dipindahkan ke kartu dari 17 bank terbesar pada hari yang sama dan segera dicairkan oleh bagal uang yang terlibat dalam tahap akhir penarikan uang dari ATM.

Bersamaan dengan itu, para penyerang menggunakan karakteristik teknik MoneyTaker untuk menutupi jejak mereka dalam sistem - mereka membersihkan log OS pada banyak komputer, yang dimaksudkan untuk menghambat respon terhadap insiden dan penyelidikan selanjutnya dilakukan pihak berwenang.

Selain itu, para penjahat meninggalkan beberapa program yang disebut 'reverse shell,' yang menghubungkan server peretas dari jaringan bank dan menunggu perintah baru untuk melakukan serangan baru dan mendapatkan akses ke jaringan. Selama respons insiden, ini terdeteksi oleh karyawan Grup-IB dan dihapus oleh sysadmins bank.

ArsteChnica melaporkan (20/7), Grup-IB telah memberikan detail tambahan dan merekomendasikan langkah-langkah pencegahan kepada pelanggan yang dikompromi.

Share this post