Xakep #305. Многошаговые SQL-инъекции
Представители Европола и испанских властей сообщили о задержании лидера хакерской группы Cobalt (также известной под названиями Carbanak и Anunak). Эта группировка похитила более миллиарда евро у 100 финансовых учреждений из 40 стран мира.
Главу хакерской группы задержали в испанском городе Аликанте в результате масштабной операции, проведенной испанской национальной полицией при поддержке Европола, ФБР, правоохранительных органов Румынии, Тайваня и Республики Беларусь. Киберполиция Украины так же сообщила о задержании одного из участников хак-группы — программиста. В официальном пресс-релизе представители Европола отмечают, что это была сложная и скоординированная операция, так как лидер группы, программисты и дропы находились в разных странах.
Имя лидера Cobalt пока не разглашаются, по данным издания Bloomberg, это некий Денис К., украинец по национальности, другие СМИ скупятся на подобную конкретику и сообщают, что задержанный — выходец из Восточной Европы.
По данным правоохранителей и ИБ-экспертов, хакерская группа активна как минимум с 2013 года. Все это время хакеры атаковали банкоматы и финансовые учреждения в разных странах мира, начав с малварь-кампании Anunak (2013-14 годы), после перейдя на ее улучшенную версию Carbanak (2014-2016 годы), а затем создав еще более сложного вредоноса, известного как Cobalt Strike (2016-2017 годы).
Все атаки группы имели схожий «почерк». Злоумышленники рассылали сотрудникам банков таргетированные фишинговые письма с вредоносными вложениями. В таких посланиях хакеры выдавали себя за представителей реально существующих компаний. Как только жертва запускала малварь, преступники получали доступ к зараженной машине, а через нее проникали во внутреннюю сеть банка. Таким образом группировка добиралась, например, до серверов, работающих с банкоматами (также хакеры каждый раз старались получить доступ к платежным шлюзам и карточному процессингу), после чего взломщики могли начинать обналичивать деньги.
Зачастую банкоматам удаленно, в определенное время отдавали команду на выдачу наличных, а возле банкомата уже поджидал специальный человек, «мул», принимавший купюры. Также порой злоумышленники переводили средства с легитимных аккаунтов на счета своих подельников, которые обналичивали их в банкоматах или покупали дорогие товары, которые затем можно было легко сбыть. Кроме того, иногда преступникам, глубоко проникшим в сеть финансового учреждения, удавалось искусственно «нарисовать» на счетах своих мулов крупные суммы, не переводя средства с других аккаунтов. Эти деньги тоже обналичивали как можно быстрее.
Напомню, что в конце 2017 года в России впервые была осуществлена успешная атака на банк с выводом денег за рубеж через международную систему передачи финансовой информации SWIFT. Тогда специалисты Group-IB сообщили, что за такой стояла именно группировка Cobalt. Позже стало известно, что жертвой злоумышленников стал банк «Глобэкс», принадлежащий Внешэкономбанку, и преступники похитили около миллиона долларов.
«Долгое время “секрет успеха” Cobalt состоял в том, что хакеры группы постоянно тестировали новые инструменты и схемы, часто меняли локацию проведения атак и хорошо знали, как работают банки. После заражения компьютеров сотрудников того или иного банка Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом, и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег.
Стоит отметить, что в последнее время целью атак этой группы становятся не только банки, но и разработчики ПО, СМИ, а также страховые компании. С получением доступа к инфраструктуре таких агентов последующие атаки уже непосредственно на финансовые учреждения выполняются от имени и с серверов зараженных подрядчиков, что значительно увеличивает вероятность успешного заражения», — пишут эксперты Group-IB теперь, в связи с арестом главы группировки.
К сожалению, по мнению аналитиков Group-IB, арест лидера группы и нескольких ее участников не означает, что деятельность Cobalt прекращена.
Так, утром 26 марта (ориентировочно в 11:00 по московскому времени) Центр реагирования на киберинциденты (CERT) Group-IB зафиксировал фишинговую рассылку Cobalt от имени SpamHaus, известной некоммерческой организации, которая борется со спамом и фишингом. В письме, отправленном с адреса j.stivens@spamhuas.com (реальный домен Spamhaus — spamhaus.org), утверждалось, что IP-адреса компании-получателя были заблокированы из-за подозрений в рассылке спама. Чтобы «решить проблему» авторы письма предлагали жертве перейти по ссылке, а та вела на загрузку документа Microsoft Office с вредоносным вложением. Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt.
«Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе, чтобы показать, что их задержанные подельники не причастны к этой группе. Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего члены Cobalt примкнут к действующим группам или, в результате, очередного „передела“ появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае, не стоит списывать со счетов наследие Cobalt — и с точки зрения ресурсов, и с точки зрения инструментария», — пишет Дмитрий Волков, руководитель департамента Threat Intelligence и CTO Group-IB.