15 марта 2016 года «Лаборатория Касперского» зафиксировала интересный инцидент. Многие российские банки (точное число не называется) подверглись спланированной и направленной атаке злоумышленников, которые выдавали себя за сотрудников FinCERT. Это подразделение Центробанка РФ было создано год назад, оно занимается информационной безопасностью.

15 марта десятки сотрудников российских банков получили вредоносные письма. Узконаправленная кампания – это вовсе не ново, хакеры практикуют подобное постоянно, однако на этот раз они проявили творческий подход и подключили элементы социальной инженерии. В письмах злоумышленники выдавали себя за сотрудников FinCERT, которое в последнее время приобрело немалую известность, в частности, в свете участившихся атак на банки и все возрастающего ущерба от них. Очевидно, именно известность FinCERT  привлекла внимание атакующих, которые сочли, что это может стать неплохим прикрытием.

В ночь с 14 на 15 марта злоумышленники зарегистрировали доменное имя fincert.net, воспользовавшись услугами регистратора reg.ru. Информация о владельце недоступна.

fakecert_ru_1-1024x419

Еще один домен: view-atdmt.com понадобился атакующим для создания сервера, задействованного в атаке. Имя также было зарегистрировано 15 марта.

fakecert_ru_2-1024x316

Физически IP-адрес 31.184.234.204 сервера, на котором был размещен домен, находится на хостинге в Санкт-Петербурге.

Интересно, что атака была по-настоящему таргетированной. Злоумышленники не просто рассылали сотни одинаковых вредоносных писем всем подряд, эксперты пишут, что они точно знали, кто будет получателем каждого письма, и обращались к каждому получателю по фамилии и имени-отчеству.  Сотрудники «Лаборатории Касперского» выяснили, что подобную информацию о реципиентах нельзя найти в открытом доступе и предполагают, что атакующие использовали некую специальную базу, возможно составленную из материалов отраслевых конференций или каких-то служебных документов ряда банков.

Чтобы все выглядело еще более правдоподобно, послания рассылались с адреса info@fincert.net (IP: 194.58.90.56), в то время как настоящий адрес FinCERT – fincert@cbr.ru.

fakecert_ru_4-1024x791
Вредоносное письмо

Еще один штрих, добавленный для правдоподобности: имя файла-вложения: «20160314 – 001 — Возможная компрометация АРМ КБР. doc». Цифровой код «20160314 – 001» совпадает с используемой настоящим FinCERT номенклатурой уведомлений об атаках, то есть хакеры имели доступ к информации, которая недоступна широкой аудитории.

fakecert_ru_6
Содержимое документа

Разумеется, на самом деле приложенный к письму документ был вредоносным – он содержал встроенный VBA макрос «NewMacros». Если жертва разрешала запуск макроса, он инициировал скачивание с удаленного сервера файла fincert.cab (для этого использовался вышеупомянутый view-atdmt.com). Интересно, что файл подписан легальной цифровой подписью московской компании «СПЕК-2000». Файл подписан 15 марта, за несколько часов до старта рассылки. Неувязка заключается в том, что «СПЕК-2000» действительно существует, но занимается перевозкой грузов. Зачем перевозчикам понадобился цифровой сертификат, и почему им подписывают малварь, пока неясно.

После того как fincert.cab был загружен в систему и распакован, происходит установка набора удаленного администрирования на базе LiteManager 3.4. Малварь прописывается в реестр и предпринимает ряд шагов для маскировки своего присутствия в системе.

Точное число «мишеней» злоумышленников неизвестно. В отчете «Лаборатории Касперского» сообщается, что по состоянию на утро 16 марта разосланный злоумышленниками вредоносный файл был загружен на VirusTotal для проверки более 70 раз из 56 различных источников.

Свой отчет «Лаборатория Касперского» завершает цитатой твита Артема Сычева, заместителя начальника главного управления безопасности и защиты информации Банка России. Процитируем его и мы:

Фото: РИА, «Лаборатория Касперского»



3 комментария

  1. John Cramer

    17.03.2016 at 10:18

    Ну и фишинговое письмо! В одном слове две ошибки. Как говорится, «ничто в облике Штирлица не выдавало советского разведчика…» :))

  2. dayld

    17.03.2016 at 10:42

    За последний год, количество таких писем резко возросло.
    Думаю, что письма о вакансии в ЦБ с адресов @cbr.net.com (если не ошибаюсь) и FinCERT связаны и занимаются этим одни и те же люди.
    Вот так одна утечка подарила массу атак.

  3. Nick

    18.03.2016 at 03:15

    Неужели реальный отправитель всегда пишет тоже «Здравствуйте, ФИО!» Нормальные люди пишут «ИО». Или у бюджетников нормально общаться не принято?

Оставить мнение