Специалисты компании Group-IB опубликовали технический отчет «Silence 2.0: going global», посвященный преступлениям русскоязычной хак-группы Silence. Аналитики сообщили, что подтвержденная сумма хищений, совершенных группой в период с июня 2016 года по июнь 2019 года, составляет не менее 272 млн рублей.

Жертвами Silence ранее уже становились российские банки, однако в новом отчете фиксируется значительное расширение географии их преступлений: аналитики Group-IB обнаружили атаки Silence более чем в 30 странах Европы, Азии и СНГ. Новый отчет содержит полное техническое исследование инструментов и тактики группы, а также включает индикаторы компрометации атакованных целей.

«Обладая наиболее полной экспертизой о деятельности Silence и опытом проведения реагирований на их атаки, мы считаем необходимым информировать не только клиентов, но и профессиональное коммьюнити об этой угрозе, — заявил Дмитрий Волков, руководитель направления киберразведки и CTO Group-IB. — Эволюция группы, модификация прежних инструментов и появление новых усложняют выявление и предотвращение киберинцидентов, связанных с ней. Учитывая растущий ущерб от деятельности Silence, для повышения эффективности противостояния этой группе во всем мире мы приняли решение выложить прежний отчет “Silence: Moving into the darkside” и новый “Silence 2.0: going global” в открытый доступ. Публикация этих уникальных аналитических материалов позволит компаниям и аналитикам в разных странах корректно атрибутировать атаки Silence и детектировать их на ранней стадии».

В Group-IB подчеркивают, что из отчетов были исключены данные, которые могут помешать расследованию киберпреступлений группы.

Зловещая тишина: атаки от России до Латинской Америки

Эксперты Group-IB непрерывно следят за активностью Silence c 2016 года. Первое исследование “Silence: Moving into the darkside”, выпущенное специалистами в сентябре 2018 года, считается наиболее полным источником технической информации об инфраструктуре и инструментах, использовавшихся киберпреступниками с июня 2016 года по апрель 2018 года.

Второй отчет охватывает период с мая 2018 года по 1 августа 2019 года. За это время системой мониторинга, анализа и прогнозирования киберугроз Group-IB Threat Intelligence было зафиксировано не менее 16 новых кампаний Silence, нацеленных на банки разных стран.

В целом в 2019 году география атак Silence стала самой обширной за все время существования группы. Хакерами были заражены рабочие станции более чем в 30 государствах мира в Азиатском регионе, Европе и СНГ. В июле жертвами Silence стали банки в Чили, Болгарии и Гане, в июне хакеры провели серию атак на российские банки, в мае – две успешных атаки: в Киргизии и бангладешском банке Duch-Bangla, в феврале – омский «ИТ Банк», в январе – взлом банка в Индии.

Подтвержденный ущерб, нанесенный Silence, с момента релиза прошлого отчета вырос в 5 раз и составил не менее 272 млн рублей или 4,2 млн долларов США.

Silence: инструменты, тактика, связь с хакерами TA505

Начав с целей в России, атакующие постепенно перемещали фокус на СНГ, а затем вышли на международный рынок. Среди тактических изменений – «двухходовка» на подготовительном этапе атаки.  Сначала по огромной базе адресов (до 85 000) рассылаются письма-пустышки без вредоносной нагрузки. Это позволяет хакерам обновить свою базу актуальных целей, расширить географию атак и понять, какие решения по кибербезопасности используются в банке. Результатом этой тестовой рассылки является создание «боевой» базы почтовых адресов. Именно по этой базе пойдет рассылка с вредоносным вложением. В отчете рассматриваются три таких кампании, охватившие Россию и СНГ, Азию и Европу. Суммарно хакеры отправили более 170 000 писем для актуализации адресов будущих целей.

В ответ на усиленное внимание со стороны разработчиков ИБ-решений Silence внесли ряд модификаций в свои инструменты и начали использовать новые. Так, был кардинально переписан первичный загрузчик Silence.Downloader (или TrueBot), применяемый на первой стадии атаки и во многом определяющий ее успешность. Изменения коснулись логики исполнения Silence.Downloader и Silence.Main, а также команд, исполняемые ботами.

Но также были выявлены и новые инструменты. Так, 23 июня 2019 года специалисты Group-IB зафиксировали атаки на банки Чили, Коста-Рики, Ганы и Болгарии. Здесь использовался инструмент, догружаемый основным трояном Silence.Main и основанный на публичных проектах для тестирований на проникновение Empire и dnscat2. Инструмент получил название EmpireDNSAgent или просто EDA.

Также в мае 2019 года был обнаружен Ivoke-бэкдор — полностью бесфайловый троян, задача которого собрать сведения о зараженной системе и загрузить следующую стадию по команде от управляющего сервера. Кроме того, к инструментам группы был добавлен троян для атаки через банкоматы xfs-disp.exe. Предположительно именно он использовался в «ИТ Банке».

Анализируя арсенал Silence, эксперты сходство между кастомным трояном Silence.Downloader и загрузчиком FlawedAmmyy.Downloader, который связывают, в том числе, с атаками хакеров ТА505. Обе программы разработаны одним человеком, который привлекался Silence для работы над загрузчиком.

Русскоязычная группа TA505 известна с 2014 года (по данным Proofpoint), ее связывают с масштабными вредоносными кампаниями и атаками на финансовые учреждения США, Объединенных Арабских Эмиратов и Сингапура. В последних кампаниях TA505 использует FlawedAmmyy, полнофункциональной RAT, позволяющий злоумышленникам получить административный контроль над зараженным устройством для мониторинга активности пользователей, профилирования системы и кражи учетных данных.

Атаки и атрибуция

Учитывая инициированные расследования, исследователи детально разбирают в своем новом отчете две известных атаки: на бангладешский банк Dutch-Bangla, из которого было выведено не менее 3 млн долларов, а также на «ИТ Банк» в России, из которого удалось похитить около 25 млн руб.

18 января 2019 Group-IB сообщила о фишинговой рассылке Silence, в которой вредоносное вложение было замаскировано под приглашение на iFin-2019, XIX Международный Форум iFin-2019 «Электронные финансовые услуги и технологии». Установлено, что почтовые адреса сотрудников «ИТ Банка» были среди получателей этих писем.

Эти письма стали точкой входа, благодаря которой Silence развил свою атаку до финального этапа. 25 февраля 2019 на VirusTotal с российского IP-адреса вручную, через веб-интерфейс была загружена программа xfs-test.exe, скомпилированная 10 февраля 2019. Данная программа предназначена для отправки команд напрямую диспенсеру банкомата, в результате выполнения которых вся наличность будет выдана. Уже через два дня после компиляции в СМИ появилась информация о хищении из банкоматов «ИТ Банка».

31 мая 2019 года семеро мужчин в медицинских масках сняли наличность в банкоматах Dutch- Bangla Bank в Бангладеше. Экспертам Group-IB удалось установить, что сервер Silence начал функционировать не позднее 28 января 2019 года. Взаимодействие с IP-адресами, принадлежащими сетевой инфраструктуре банка Dutch-Bangla, начало осуществляться не позднее 16 февраля 2019 года.

Заранее открытые карты банка дважды использовались мулами для нелегитимного снятия наличных. Первый раз — за пределами Бангладеша. Процесс снятия наличных мулами в Дакке был зафиксирован на видео и позже выложен на YouTube, а местной полиции удалось оперативно задержать подозреваемых. Ими оказались шестеро граждан Украины. Одному 31-летнему подозреваемому удалось сбежать.

В отчете Group-IB рассматриваются два вектора атаки на Dutch- Bangla Bank: через банкоматы и через карточный процессинг. В любом из вариантов развития событий количество снятий, а также объем хищения может быть намного большим.

Оставить мнение