Внутренние угрозы и социальный инжиниринг. Хакеры совершенствуют приемы нападений на банки

Group-IB сообщила о новой весьма масштабной хакерской атаке на российские банки, состоявшейся утром 16 января. На сей раз нападению подверглись возможные участники международного форума iFin-2019.

Компания Group-IB сообщила о новой весьма масштабной хакерской атаке на российские банки, состоявшейся утром 16 января. На сей раз нападению подверглись возможные участники международного форума iFin-2019.

Он пройдет в Москве 19–20 февраля. Фальшивые приглашения получили от имени «Forum iFin-2019», но с адреса info@bankuco[.]com, около 80 тысяч сотрудников банков и крупнейших платежных систем. Текст рассылки был слегка отредактирован, но походил на официальное.

В компании Group-IB возложили ответственность за крупнейшее с начала года нападение на хакерскую группу Silence. Подложное приглашение было разослано сотрудникам кредитно-финансовых организаций через несколько часов после официального.

В письме предлагалось открыть приложенный ZIP-архив, чтобы заполнить находящуюся там анкету и переслать его отправителю для получения бесплатного приглашения. В документ было встроено вредоносное приложение Silence.Downloader aka TrueBot. Его использует только группировка Silence, что и позволило ее идентифицировать.

Ранее в январе она уже проводила фишинговую рассылку, направленную в российские банки. В письмах от начальников отделов межбанковских операций несуществующих ЗАО «Банк ICA» и ЗАО «Банкуралпром» предлагалось оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. В них также был договор, при распаковке которого автоматически загружался Silence.Downloader.

«Очевидно, что масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний», — сообщил РБК руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB Рустам Миркасымов. Он назвал Silence одной из самых опасных русскоязычных групп.

Миркасымов добавил, что полную картину кибератаки восстановить трудно, так как рассылки в подключенные к компании банки-клиенты были перехвачены.

«Но поскольку рассылка реально огромная, плюс они начали использовать довольно изощренные методы социальной инженерии, подстраиваясь под банковскую повестку (iFin-2019), вероятность открытия письма и, соответственно, заражения высока», — отметил он.

Рустам Миркасымов сообщил ТАСС, что компания зафиксировала изменения в работе хакерской группы. Приемы хакеров изменились после публикации технического отчета.

Group-IB, содержащего описание тактики их действий и детали атак. Эксперт сравнил группировку Silence с печально известными Cobalt и MoneyTaker.

Миркасымов также сообщил, что, по версии Group-IB, в банковском секторе работают или могли работать сообщники Silence. В Банке России сообщили «Интерфаксу», что знают о произошедшей атаке.

«Банку России известно о данной атаке. Регулятор своевременно проинформировал о ней банки и дал рекомендации по противодействию», — сообщили агентству.

Председатель оргкомитета iFin-2019 Андрей Бурдинский сообщил газете «Коммерсантъ», что получил только две жалобы на получение фишинговых писем. Однако он отметил, что банкам направлялись только персональные приглашения, и признал, что их текст отчасти походил на фальшивую рассылку.

«Текст фальшивого приглашения не похож на реальное приглашение, отправленное в банки в этот день. Скорее всего, текст взят злоумышленниками с веб-сайта форума или из одного из пресс-релизов», — отметил Бурдинский.

Тем не менее, эксперты считают, что сообщники хакеров легально занимались или занимаются пентестами и реверс-инжинирингом в финансовом секторе.

Что известно о Silence

Хакерская группа Silence впервые попала в поле зрения Group-IB в 2016 году. Она специализируется на финансовых учреждениях, рассылая фишинговые письма с вредоносными сообщениями.

В ноябре прошлого года были зафиксированы две массовые рассылки от имени ЦБ РФ и ФинЦЕРТа ЦБ, сообщал «Интерфакс».

«Эксперты Group-IB установили, что атаку 15 ноября могла провести хакерская группа Silence, а 23 октября — MoneyTaker. Обе преступные группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций», — проинформировала компания Group-IB.

Получателям предлагалось ознакомиться с постановлением ЦБ «Об унифицировании формата электронных банковских сообщений ЦБ РФ», и незамедлительно приступить к исполнению указаний регулятора. В приложении, разумеется, содержался инструмент Silence.Downloader.

Послания получили 52 российских и два зарубежных банка. Уже тогда эксперты заметили, что стиль и оформление письма идентичны официальным рассылкам ЦБ. Они высказали предположение, что хакеры получили доступ к подлинникам.

В целевой атаке от имени регулятора, но уже 23 ноября, участвовала также группировка MoneyTaker, рассылавшая вредоносный материал Meterpreter Stager под видом документа «Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc» партнерам ЦБ.

Кибернападению подверглись, судя по всему, более сотни организаций. Эксперты предположили, что образцы документов регулятора были получены хакерами из скомпрометированных почтовых ящиков сотрудников российских банков.

О крайне малочисленной группировке Silence известно очень мало. Специалисты считают, что она состоит из русскоговорящих хакеров. Были зафиксированы их атаки на системы управления банкоматами и российскую систему межбанковских переводов АРМ КБР. Они направляли фишинговые письма финансовым организациям России, Украины, Белоруссии, Азербайджана, Польши и Казахстана. Отмечались точечные атаки на компании Западной Европы, Великобритании, Африки и Азии.

Что делать, и кто виноват?

Руководитель аналитического центра Zecurion Владимир Ульянов сообщил «360», что кибератаки на банковские организации постоянно и достаточно активно ведутся в течение последних лет. Фишинговые рассылки он назвал «стандартной ежедневной вещью», в которой нет ничего нового.

«Я не могу сказать, что они участились. Специалисты информационной безопасности ежедневно отражают просто огромное количество атак. О большинстве мы не узнаем. Случается, что некоторые из них вырываются из контекста и раздуваются до сообщений о масштабных нападениях», — отметил эксперт.

По его мнению, это нормальная фоновая работа для специалистов кибербезопасности и ничего необычного ни в количестве, ни в качестве атак он не видит. Ульянов добавил, что в данном случае нет оснований предполагать, что у хакеров были сообщники внутри кредитных организаций. С такой работой может справиться любой верстальщик или дизайнер со стороны.

«Другое дело, когда речь идет о сложных кибератаках, когда, казалось бы, хакеры нападают извне, но у них есть сообщники внутри организации. Внутренние угрозы являются самыми актуальными», — подчеркнул эксперт.

От утечек информации банки получают более заметный ущерб, нежели от внешних нападений.

«Собственные сотрудники работают с конфиденциальной информацией и сливают ее. Вот в чем большая проблема. Бывает, что по злому умыслу, бывает по халатности или незнанию. Киберпреступления в целом и внутренние угрозы в частности очень актуальны для российских банков», — признал эксперт.

Владимир Ульянов отметил участившиеся случаи использования хакерами социального инжиниринга.

«Заметьте, „Forum iFin-2019“ был использован как инфоповод. Хакеры часто привязывают свои атаки к значимому событию, о котором многие знают. Например, во время ЧМ-2018 по футболу распространялось огромное количество спама и других вредоносных рассылок, связанных со спортом», — напомнил аналитик.

По его мнению, киберугрозам противостоять можно и нужно. Причем не только с помощью технических средств, защищающих от утечки информации.

«Внутренние угрозы может предотвратить просветительская работа, которую должны вести сотрудники служб безопасности с сотрудниками собственной компании. Одной компонентой, только техническими средствами, решить проблему нельзя. Нужно разъяснять сотрудникам векторы современных киберугроз, чтобы они не поддавались на уловки злоумышленников. В частности, при использовании ими методов социальной инженерии», — резюмировал Владимир Ульянов.