Специалисты Group-IB сообщают, что русскоязычная хак-группа Silence может была причастна к хищению как минимум 3 000 000 долларов из банкоматов бангладешского Dutch Bangla Bank.
Напомню, что за этой группировкой исследователи наблюдают с июня 2016 года. Подобно Cobalt или MoneyTaker хакеры из Silence в основном атакуют банки. Так, одной из первых целей группы был российский банк, который преступники попытались атаковать через АРМ КБР (Автоматизированное рабочее место клиента Банка России). Минувшей осенью эксперты Group-IB уже публиковали большой отчет, посвященный кампаниям Silence и методам работы группы.
Также в декабре и в начале текущего года Group-IB сообщала о массовых фишинговых атаках в отношении финансовых учреждений РФ. По данным экспертов, эти атаки тоже осуществляла Silence.
Исследователи пишут, что с тех пор структура группировки могла измениться. К примеру, считается, что один из разработчиков Silence написал малварь FlawedAmmyy loader, то есть выступил в качестве стороннего разработчика для других киберпреступных операций.
В мае 2019 года сразу три частных банка (Dutch Bangla Bank Limited, NCC Bank и Prime Bank) в Бангладеш пострадали от атак хакеров. По данным местных СМИ, только голландская компания Bangla Bank Limited (DBBL) сообщила о финансовых потерях, тогда как два других банка заявили, что смогли предотвратить атаки.
Теперь аналитики Group-IB рассказали изданию BleepingComputer, что именно Silence могла стоять за атаками на Dutch Bangla Bank, в результате которых было похищено примерно 3 000 000 долларов (фактическая сумма украденных средств может быть намного выше). Специалистам удалось связать взлом Dutch Bangla Bank с серверной инфраструктурой Silence: зараженные хосты банка с внешними IP-адресами 103.11.138.47 и 103.11.138.198 общались с управляющим сервером хакеров (185[.]20.187.89)
«Это одна из последних международных атак Silence, которая указывает на то, что группа расширила свою географию и стала глобальной, сосредоточившись сейчас на странах азиатско-тихоокеанского региона (APAC)», — сообщает Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB.
По мнению экспертов, Dutch Bangla Bank — не первая жертва группировки Silence в регионе. В общей сложности известно, по крайней мере, о четырех атаках группы в Азии.
Group-IB сообщает, что для атаки на бангладешский банк вероятнее всего использовались трояны Silence.Downloader (также известный как TrueBot), Silence.MainModule, который позволяет скрытно выполнять удаленные команды и загружать файлы со скомпрометированного сервера, а также Silence.ProxyBot, который позволяет злоумышленнику перенаправлять трафик со скрытого узла на сервер через скомпрометированный ПК.
При этом малварь общалась с управляющими серверами злоумышленников как минимум с февраля 2019 года. И такой длительный период компрометации вполне типичен для ограблений банков такого уровня: злоумышленники не спешат и сначала находят интересующие их системы и тщательно изучают возможности для атаки, прежде чем переходить непосредственно к самому ограблению.
Как только Silence получила доступ к банковской инфраструктуре, она перешла к следующему этапу атаки — снятию денежных средств. Аналитики сообщают, что деньги могли быть похищены двумя способами: хакеры могли либо скомпрометировать банковскую систему обработки карт, либо использовать специальное программное обеспечение Atmosphere для джекпоттинга, направив к банкоматам своих «мулов».
Вывод средств через банкоматы Dutch Bangla Bank произошел 31 мая, но издание ZDNet обратило внимание, что до этого мошенники также использовали клонированные карты клиентов Dutch Bangla Bank для снятия денег в банкоматах на Кипре, в России и Украине.
Кроме того, Group-IB полагает, что новые атаки Silence также ударили по банкам в трех других странах: Индии, Шри-Ланке и Кыргызстане. Однако названия пострадавших финансовых учреждений не раскрываются.
