Закрыть и перейти на сайт ComNews.RU
Новости Редколонка Точка зрения

Чт, 13.12.2018

Полная версия сайта   

 Поиск
USD 66.42 EUR 75.22
13 декабря 2018 года, Чт

Сразу две хакерские группы атаковали российские банки от имени Центробанка

© ComNews
15.11.2018

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального Банка России и ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ.

Эксперты Group-IB установили, что атаку 15 ноября могла провести хакерская группа Silence, а 23 октября — MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций. 

Атака в ноябре: Silence

Утром 15 ноября Group-IB зафиксировала массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. SSL-сертификаты для прохождения проверки DKIM не использовались. Письма с темой "Информация центрального банка Российской Федерации" предлагали получателям ознакомиться с постановлением регулятора "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и незамедлительно приступить к исполнению "приказа". Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader —инструмент, который используют хакеры Silence.  

Эксперты Group-IB отметили, что стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой — пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.

Получателями рассылки от 15 ноября стали не менее 52 банков в России и не менее 5 банков за рубежом. Цифры основаны на статистике, собранной системами Group-IB TDS. Но, основываясь на данных по предыдущим атакам, можно подсчитать, что атака велась, скорее всего, по более чем 100 организациям.

Атака в октябре: MoneyTaker  

Письмо, отправленное 23 октября также с поддельного адреса ФинЦЕРТ, содержало пять вложений стилизованных под официальные документы ЦБ. Среди них: "Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc". Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Кроме того, серверная инфраструктура, задействованная в ней, неоднократно использовалась с предыдущих атаках хакерами MoneyTaker. Все это позволило предположить, что за октябрьской атакой якобы от имени ЦБ стоят именно они.

Аналитики Group-IB считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков. Полученная информация используется MoneyTaker для проведения целевых атак на банки, в том числе при формировании писем, которые копируют документы регулятора.

Фишинговая рассылка, сделанная от имени ЦБ — довольно распространенный среди киберпреступников вектор атаки, им пользовались группы Buhtrap, Anunak, Cobalt, Lurk. Например, в марте 2016 года злоумышленники рассылали фишинговые письма с info@fincert.net. Что касается реальных оповещений от имени ЦБ России, ранее для доставки вредоносных программ сотрудникам банков их использовали хакеры из Lurk и Buhtrap.

"Начиная с июля ФинЦЕРТ использует для информационного обмена автоматизированную систему обработки инцидентов, которая позволяет осуществлять защищённый и оперативный обмен информацией об инцидентах и операциях, совершенных без согласия клиента на основе базы данных "Фид-Антифрод", — сообщили в пресс-службе Банка России. — Резервным каналом доставки информации является канал электронной почты. Все сообщения, отправляемые посредством электронной почты, подписаны ЭЦП ФинЦЕРТ".

Информация и индикаторы атаки от 23 октября и 15 ноября были оперативно загружены в систему Threat Intelligence, что позволило предупредить клиентов Group-IB из числа российских банков о потенциальной угрозе.

"MoneyTaker и Silence являются двумя из 4 наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций, — отмечает Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. — Хакеры из  MoneyTaker используют все возможные векторы атак на банки: они могут, например, отправить фишинговое письмо, провести drive by атаку или тестирование сетевой инфраструктуры банка на наличие уязвимостей. А уже после получения доступа к внутренним узлам сети хакеры легко проводят атаки и вывод денег через карточный процессинг или систему межбанковских переводов (в России — АРМ КБР, автоматизированное рабочее место клиента Банка России). Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем". 

О Silence

Silence – активная и крайне малочисленная хакерская группа, состоящая из русскоговорящих хакеров. Впервые активность группы была зафиксирована специалистами Group-IB в 2016 году.   За все время "работы" Silence они атаковали системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР. Основные цели преступников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, хотя фишинговые письма отправлялись также сотрудникам банков Центральной и Западной Европы, Африки и Азии. Месяц назад Group-IB зафиксировали точечную атаку на компании в Великобритании.

О MoneyTaker

MoneyTaker - преступная хакерская группа, на счету которой 16 атак в США, 5 – на банки России и 1 – в Великобритании. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак, а также используют метод атаки через посредника, то есть взламывают партнеров банков, ИТ-компании, поставщиков финансовых продуктов.

При использовании материалов ссылка на ComNews обязательна.

Свидетельство о регистрации СМИ от 8 декабря 2006 г.
Эл № ФC 77-26395

РекламаПисьмо в редакциюО насAbout us
Новости