skvz Feb 15 2015 at 18:46

Технический отчет о деятельности преступной группы, занимающейся целевыми атаками — Anunak

17 min

63K

F6 corporate blogInformation Security*Payment systems*Reverse engineering*

+61

Comments 20

Osipov Feb 15 2015 at 19:24

Интересное исследование, спасибо!
Если возможно, сообщите, пожалуйста, хэш сэмпла *nix-бэкдора SSHD, о котором идет речь в исследовании.

skvz Feb 16 2015 at 12:23

Конечно. Файл «sshd» (рамер 460 568 байт, MD5: C7FCA6BDE9A9109E4C1BC9CAEAEEC6CA).
MD5: 690B5C3792A82AFE2B3ACC1137322A8F
MD5: F6159E8097C81D6EAA8A3A4C576A8B98
Однако стоит поямнить, что это не семпл вредоноса. Вирь собирает из исходников сам модифицированный sshd, поэтому на каждой платформе свой хэш. Банально на x86 фри бсд и x86 дебиан и т.д.

Osipov Feb 16 2015 at 15:15

Да, это понятно, что хэши будут разные после пересборки из сорцов.
Спасибо!

iTs Feb 15 2015 at 20:38

Это настолько желто, что слезы умиления накатывают.

barabanus Feb 16 2015 at 01:13

Что вы имеете ввиду под «желто»?

iTs Mar 8 2015 at 20:27

В статье столько не состыковок, догадок и нелепых выдумок, что нужно быть совсем уж зеленым несведущим в иб и тамошней кухне, что бы принимать этот школоло «отчет» имитаторов всерьёз.

Spewow Feb 15 2015 at 22:51

Спасибо за статью.

Понравился еще этот ваш отчет, даже более наглядный.

2014.zeronights.ru/assets/files/slides/ivanovb-zeronights.pdf

furtaev Feb 16 2015 at 01:27

… На текущий момент итоговая сумма хищений составляет более 1 миллиарда рублей (около 300 миллионов долларов США)..

Я-то думаю, откуда взялась эта сумма в $300М, которую без малейшей проверки фактов публикуют исключительно на русскоязычных сайтах.
А оказывается это в Group-IB такой внутренний курс: 3 руб. 30 коп. за доллар. Ну что сказать, счастливые люди, нам так не жить.

UFO landed and left these words here

Ajex Feb 16 2015 at 05:40

Вот на Forbes нашел про эту группу, там как раз идет речь о 18 млн долл, что уже ближе к реальности.

Meet Anunak — The Hacker Crew That Owned Staples And Earned $18m In 2014

Хотя все равно масштабы поражают.

UFO landed and left these words here

skvz Feb 16 2015 at 12:19

Это совсем другой тип вредоносной программы. К Анунаку он отношения не имеет.

nvv Feb 16 2015 at 13:10

денежные средства похищаются не у клиентов, а у самих банков и платежных систем

— это уточнение «места хищения» (непосредственно в банке/платежной системе) или собственника средств?
Если второе, то в банках/платежных системах практически все средства — средства клиентов, а не собственные.

skvz Feb 16 2015 at 13:33

Да, имеется ввиду место, к которому был получен несанкционированный доступ. В данном случае это непосредственно сеть банка/платежной системы

skvz Feb 16 2015 at 13:39

К тому денежные средства переводятся со счетов банка/платежной системы и пострадавшим будет признана фин организация. Прямого ущерба кому-либо из клиентов нет.

nullc0de Feb 17 2015 at 01:16

Все очень красиво расписано, напоминает голливудский блокбастер про хакеров. Самое главное хакеры просто универсалы, ломают все стеки технологий, кучу банков, включая оборудование cisco итд Ну прям как в фильмах, но современные реали таковы, что нет таких специалистов. Голливуд просто отдыхает. Очень понравилась фраза, что некоторые банки которые атаковали хакеры уже закрыты. И тут же вспоминает недавняя новость, что group-ib получает финансирование и выходит на IPO. Интересно не те ли закрытые банки влили деньги в компанию, за липовый отчет и отбелили свою мошеническую деятельность и обман клиентов. А еще кто не вкурсе основатель этой компании в свое время был известным в узких кругах хакером-кардером специализирующимся на краже денег, интернет не даст соврать, каждый может нагуглить информацию и поднять из вебархива. Интересно не взялся ли наш товарищ за прошлое, но уже маскируясь под легальную компанию?))

andreybryzgin Feb 17 2015 at 11:06

Очень интересная теория, только «нагуглить информацию и поднять из вебархива» у меня никак не получается. Не поможете пруфлинками?

UFO landed and left these words here

andreybryzgin Feb 17 2015 at 13:21

Извините, но не по делу совсем комментарий. Борис Иванов сделал блестящую презентацию (не только моё мнение, пример отзыва есть даже в комментариях выше, если Вам так хочется линков — habrahabr.ru/company/dsec/blog/245203/ — оценили коллеги из DSec). Использование жаргона — личное дело Бориса, не находите? И к данному посту или комментарию этот вопрос едва ли имеет отношение.

Мой запрос пруфлинков относится к нижеприведённой цитате, которая явно нуждается в подтверждении:

А еще кто не вкурсе основатель этой компании в свое время был известным в узких кругах хакером-кардером специализирующимся на краже денег, интернет не даст соврать, каждый может нагуглить информацию и поднять из вебархива.

Впрочем, если ваша задача — потроллить в комментариях — то Вы уже победили, поздравляю!

UFO landed and left these words here