گروه هکری Anunak بیش از ۱۸ میلیون دلار از بانکهای روسی سرقت کرد

انتشار بدافزار Anunak جهت آلودگی اولیه کارکنان بانک، اغلب از طریق پیوست های مخربی است که به همراه ایمیل های جعلی و ساختگی که در ظاهر از طرق بانک مرکزی روسیه هستند، ارسال می شوند.

یک گروه نفوذگر حرفه ای به نام Anunak با نفوذ به شبکه های داخلی و دسترسی غیرمجاز به زیرساخت های مالی چندین بانک در روسیه و کشورهای سابق اتحاد جماهیر شوروی، بیش از یک میلیارد روبل از این بانکها سرقت کرده است.

تکنــــــــــــــازدانلود: دو شرکت امنیتی Group-IB و Fox-IT که موفق به شناسایی فعالیت های مخرب این گروه نفوذگر شده اند، نام Anunak را بر روی این گروه گذاشته اند. این نام را نفوذگران برای بدافزار مورد استفاده خود بکار می بردند.

برخلاف بسیاری از نفوذگران که مشتریان بانک را هدف قرار می دهند و از حساب بانکی آنها سرقت می کنند، گروه نفوذگر Anunak خود بانکها را هدف گرفته و به شبکه داخلی، سرورها و ایستگاه های کاری بانک نفوذ می کنند. از این طریق، نفوذگران قادر هستند که مستقیما پول به حسابهای تحت کنترل خود واریز کنند.

در طی دو سال گذشته، گروه Anunak به بیش از ۵۰ بانک روسی حمله کرده و حتی باعث شده اند تا مجوز فعالیت دو بانک لغو گردد. در این مدت، نفوذگران توانسته اند حدود یک میلیارد روبل (واحد پول روسیه) معادل ۲۵ میلیون دلار سرقت کنند. بخش عمده این مبلغ در شش ماه گذشته صورت گرفته است.

نفوذگران ابتدا با آلوده کردن کامپیوتر کارکنان عادی بانک، راه نفوذ برای خود باز کرده و سپس از آنجا به سرورهای قابل دسترس در شبکه رخنه می کنند. نفوذگران Anunak از روش ها و ابزارهای گوناگون برای رسیدن به مقاصد خود استفاده می کنند؛ روش هایی نظیر ثبت صفحه کلید، کشف رمزهای عبور با سعی و خطا، برنامه های کنترل از راه دور، درب های مخفی SSH و ابزار مخرب Metasploit برای سوء استفاده از نقاط ضعف امنیتی در انواع نرم افزارهای کاربردی و سیستم های عامل.

به گزارش شبکه گستر , اما ابزار اصلی گروه، بدافزاری به نام Anunak است که گونه ای از بدافزار مشهور Carberp بشمار می آید. Carberp یک بدافزار اختصاصی برای سرقت نام کاربری/رمز عبور از سیستم های بانکداری اینترنتی است. برنامه (source) بدافزار Carberp در سال ۲۰۱۳ میلادی به دلیل اختلافات داخلی بین گردانندگان این بدافزار، لو رفته و بر روی اینترنت منتشرشد. از آن زمان تاکنون، گونه های مختلفی از Carberp ظهور کرده است. برخی شواهد حکایت از آن دارند که تعدادی از اعضای گروه نفوذگر Anunak قبلا در گروه Carberp نیز فعال بوده اند.

انتشار بدافزار Anunak جهت آلودگی اولیه کارکنان بانک، اغلب از طریق پیوست های مخربی است که به همراه ایمیل های جعلی و ساختگی که در ظاهر از طرق بانک مرکزی روسیه هستند، ارسال می شوند.

همچنین در بعضی موارد مشاهده شده که بدافزار Anunak از طریق سایت های واقعی ولی دستکاری شده بر روی اینترنت، منتشر شده است. نفوذگران در برخی از صفحات این سایت ها، ابزارهای مخربی پنهان می کنند که به محض به نمایش در آمدن محتوای صفحه در مرورگر کاربر، این ابزار اقدام به یافتن و سوء استفاده از نقاط ضعفی امنیتی بر روی سیستم کاربر می نماید. در صورت یافتن چنین ضعفی، از آن برای رخنه به سیستم و نصب بدافزار استفاده می شود.

همچنین گروه Anunak با گردانندگان چند شبکه مخرب (botnet) در ارتباط هستند و از آنها نشانی IP کامپیوترهای تسخیر شده و تحت کنترل شبکه مخرب را خریده و در صورتیکه این نشانی ها متعلق به بانک باشد، اقدام به نصب بدافزار خود بر روی آن کامپیوترها می کنند.

اخیرا این گروه فعالیت خود را به کشورهای اروپایی، استرالیا و آمریکا توسعه داده و در این کشورها، اقدام به سرقت مشخصات کارتهای بانکی و اعتباری مشتریان از پایانه های فروشگاهی می کنند.