Se zjištěním přišli experti z bezpečnostních společností Group-IB a Fox-IT, kteří hackerskou skupinu pojmenovali jako Anunak po červu, který ke svým útokům využívá. Narozdíl od většiny jiných hackerských skupin, kteří se zaměřují na samotné spotřebitele,Anunak cíli na samotné instituce, když proniká do jejich interních sítí a na jejich servery. Díky tomuto přístupu byli útočníci schopni převést si peníze na účty, které mají pod vlastní kontrolou a v některých případech ovládli i bankomaty, z nichž si peníze jednoduše vybrali.
„Od roku 2013 získali přístup k sítím více než padesátky ruských bank a pěti platebním systémům a dvěma z těchto institucí byly kvůli tomu zrušeny jejich bankovní licence,“ uvedl Group-IB včera v oficiálním prohlášení. „K dnešnímu dni celkem ukradli přes miliardu rublů (okolo pětadvaceti milionů dolarů), přičemž většina z této částky byla ukradena v druhé polovině roku 2014.“
Útočníci ze skupiny Anunak začínají infikací počítačů běžných zaměstnanců červem, který jim následně otevře dveře do interních sítí. Útočníci používají síťové skenery, keyloggery, SSH backdoory, aplikace pro vzdálenou kontrolu a penetrační testovací framework Metasploit.
Jejich primárním nástrojem však je trojský kůň známý jako Anunak, který je založen na červovi Carberp, jenž slouží ke kradení přihlašovacích údajů do bankovnictví. Zdrojový kód Carberpa unikl na internet v červnu 2013. Group-IB věří, že někteří členové Anunaku dříve patřili do "gangu" Carberp, který se v roce 2013 rozpadl kvůli interním konfliktům.
Útočníci využívají k infikaci počítačů trojanem Anunak řadu metod. Pomocí expolitů zneužívají legitimní stránky, z nichž se následně červ stahuje (podle expertů například v roce 2013 dokázali integrovat nebezpečný kód do webu php.net), ale používají také klasický phishing pomocí e-mailů, kdy se zprávy tváří jako by byly odeslány z ruské centrální banky.
„Tato skupina má úzké styky s vlastníky některých velkých botnetů, které masivně distribuují červy,“ uvedli experti z Group-IB. „Útočníci si kupují od těchto vlastníků botnetů informace o IP adresách počítačů, které jsou v rámci botnetu ovládány a následně zjišťují, zda nepatří nějaké finančí instituci nebo vládní organizaci. Pokud narazí na počítač umístěný v bance, zaplatí vlastníkovi botnetu za to, aby si na něj mohli nainstalovat vlastního červa.“