Group-IB зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального Банка России и ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ. Исследователи установили, что атаку 15 ноября 2018 года могла провести хакерская группа Silence, а 23 октября 2018 года — MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций.

Получателями рассылки от 15 ноября стали не менее 52 банков в России и не менее 5 банков за рубежом. Цифры основаны на статистике, собранной системами Group-IB TDS. Но, основываясь на данных по предыдущим атакам, можно подсчитать, что атака велась, скорее всего, по более чем 100 организациям.

Атака в ноябре: Silence

Утром 15 ноября Group-IB зафиксировала массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. SSL-сертификаты для прохождения проверки DKIM не использовались.

Письма с темой «Информация центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader —инструмент, который используют хакеры Silence.

Эксперты отметили, что стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой — пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.

Атака в октябре: MoneyTaker 

Письмо, отправленное 23 октября также с поддельного адреса ФинЦЕРТ, содержало пять вложений стилизованных под официальные документы ЦБ. Среди них: «Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc». Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Кроме того, серверная инфраструктура, задействованная в ней, неоднократно использовалась с предыдущих атаках хакерами MoneyTaker. Все это позволило предположить, что за октябрьской атакой якобы от имени ЦБ стоят именно они.

Аналитики Group-IB считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков. Полученная информация используется MoneyTaker для проведения целевых атак на банки, в том числе при формировании писем, которые копируют документы регулятора.

Фишинговая рассылка, сделанная от имени ЦБ — довольно распространенный среди киберпреступников вектор атаки, им пользовались группы Buhtrap, Anunak, Cobalt, Lurk. Например, в марте 2016 года злоумышленники рассылали фишинговые письма с info@fincert.net. Что касается реальных оповещений от имени ЦБ России, ранее для доставки вредоносных программ сотрудникам банков их использовали хакеры из Lurk и Buhtrap.

«Начиная с июля ФинЦЕРТ использует для информационного обмена автоматизированную систему обработки инцидентов, которая позволяет осуществлять защищенный и оперативный обмен информацией об инцидентах и операциях, совершенных без согласия клиента на основе базы данных “Фид-Антифрод”, — сообщили в пресс-службе Банка России. — Резервным каналом доставки информации является канал электронной почты. Все сообщения, отправляемые посредством электронной почты, подписаны ЭЦП ФинЦЕРТ».

Информация и индикаторы атаки от 23 октября и 15 ноября были оперативно загружены в систему Threat Intelligence, что позволило предупредить клиентов Group-IB из числа российских банков о потенциальной угрозе.

«MoneyTaker и Silence являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций, — отмечает Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. — Хакеры из  MoneyTaker используют все возможные векторы атак на банки: они могут, например, отправить фишинговое письмо, провести drive by атаку или тестирование сетевой инфраструктуры банка на наличие уязвимостей. А уже после получения доступа к внутренним узлам сети хакеры легко проводят атаки и вывод денег через карточный процессинг или систему межбанковских переводов (в России — АРМ КБР, автоматизированное рабочее место клиента Банка России). Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем».

О Silence

Silence – активная и крайне малочисленная хакерская группа, состоящая из русскоговорящих хакеров. Впервые активность группы была зафиксирована специалистами Group-IB в 2016 году.   За все время «работы» Silence они атаковали системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР. Основные цели преступников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, хотя фишинговые письма отправлялись также сотрудникам банков Центральной и Западной Европы, Африки и Азии. Месяц назад Group-IB зафиксировали точечную атаку на компании в Великобритании. Отчет «Silence: новая угроза для банков» был выпущен в сентябре 2018 года, в нем впервые описывается тактика и инструментов группы.

О MoneyTaker

MoneyTaker — преступная хакерская группа, на счету которой 16 атак в США, 5 – на банки России и 1 – в Великобритании. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак, а также используют метод атаки через посредника, то есть взламывают партнеров банков, ИТ-компании, поставщиков финансовых продуктов.  В декабре 2017 года Group-IB опубликовала первый отчет об этой группе: «MoneyTaker: полтора года ниже радаров».

Оставить мнение