Nei giorni scorsi i ricercatori di sicurezza di Group-IB hanno pubblicato un report contenente i dettagli dell’operatività di MoneyTaker, un gruppo di hacker presumibilmente russi che per oltre un anno e mezzo ha operato nell’oscurità riuscendo a sottrarre una cifra complessiva vicina ai 10 milioni di dollari da 18 diverse banche (15 delle quali americane) compromettendo i sistemi di trasferimento interbancari per intercettare ordini di pagamento e recuperando il bottino prelevandolo direttamente agli sportelli bancomat.
Il primo attacco noto del gruppo è avvenuto nella primavera del 2016, colpendo la rete STAR di First Data (il principale sistema di trasferimento dei messaggi ATM in uso negli Stati Uniti). MoneyTaker ha inoltre compromesso la rete AW CRB russa, sottraendo inoltre documenti dal sistema Fed Link di OceanSystems, usato da circa 200 banche in America. Sebbene le attività del gruppo siano venute alla luce ora, dopo almeno un anno e mezzo di attività nell’ombra, ancora non è stato possibile individuare l’identità delle persone alle spalle di MoneyTaker.
Il gruppo MoneyTaker ha fatto uso di strumenti pubblicamente disponibili, che rende il processo di attribuzione e di indagine piuttosto complesso. I colpi sono inoltre avvenuti i diverse regioni del mondo – GroupIB parla di USA, Russia e Regno Unito – e almeno una banca statunitense tra quelle colpite ha subito per ben due volte il furto di documentazione. Il gruppo di hacker ha cambiato vari strumenti e metodi per compromettere i sistemi bersaglio, facendo molta attenzione ad occultare ogni possibile traccia. A titolo di esempio, una contromisura adottata è stato l’impiego di certificati di sicurezza sottratti al governo federale USA, alla Bank of America o a realtà come Microsoft e Yahoo. Solamente in un caso una banca russa è riuscita ad individuare un attacco e a recuperare una parte del bottino trafugato.
L’azione di MoneyTaker non ha colpito direttamente i clienti dei vari istituti bancari, dal momento chesi è concentrata principalmente sull’intercettazione di trasferimenti interbancari e non sullo svuotamento di singoli conti. La vicenda tuttavia sottolinea quanto sia elevata la sofisticazione dei moderni attacchi hacker rivolti alle banche e la vulnerabilità delle banche stesse. Sebbene sia difficile poter prevenire completamente gli attacchi, si tratta di un ulteriore esempio di come gli attaccanti continuino a godere di una posizione di vantaggio sulle vittime, riuscendo a capitalizzare anche considerevolmente su dati sensibili e trasferimenti monetari.