РУССКИЙ
РУССКИЙ
ENGLISH
05.09.2018

Silence: когда молчание превращается в золото

Group-IB раскрыла преступления хакерской группы Silence. Их жертвами уже стали российские банки, однако следы атак группы аналитики Group-IB обнаружили в более чем 25 странах по всему миру. Подтвержденный ущерб от деятельности Silence на данный момент составляет 52 млн руб. Group-IB выпустила первый подробный отчет о деятельности Silence, где проанализированы инструменты, техники и схемы атак группы. Аналитики компании выдвигают гипотезу о том, что по крайней мере один из двух участников Silence – это бывший или действующий сотрудник компании сферы информационной безопасности.

Cкачать полную версию отчета

В августе 2017 года Нацбанк Украины предупредил государственные и частные банки о масштабной фишинговой рассылке. Ее авторы использовали эксплоит из арсенала прогосударственной хакерской группы APT28. Однако сам инструмент, как выяснили в Group-IB, был модифицирован специально под атаку на банки — судя по всему, авторы рассылки обладали глубокими навыками реверс-инжиниринга.

Украинский ЦБ тогда связал эту атаку с новой волной эпидемии вируса- шифровальщика NotPetya, но это были не прогосударственные хакеры. Можно было предположить, что эта целевая атака — дело рук наиболее агрессивных хакерских групп уровня Cobalt или MoneyTaker. Но и эта гипотеза
не подтверждалась. Те, с кем столкнулись специалисты Group-IB, оказались малоизученной, молодой и активной хакерской группировкой, которая очень быстро училась, в том числе и на собственных ошибках.

Новое явление хакерской сцены получило название Silence. Это имя уже звучало в сообщениях антивирусных вендоров, однако никаких технических подробностей о группе до появления данного отчета не было.
Silence – это активная малоизученная хакерская группа, состоящая из русскоговорящих хакеров. Группа получила имя по названию инструмента Silence. Downloader, который использовали злоумышленники. Основные цели преступников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, хотя фишинговые письма отправлялись также сотрудникам банков Центральной и Западной Европы, Африки и Азии.
Хакерские группы, специализирующиеся на целенаправленных атаках на банки, — Anunak, Corkow, Buhtrap — имели отношение к управлению бот- сетями. Silence — исключение из правил. Еще в начале своего пути, летом 2016 года, Silence не имела навыков взлома банковских систем и в процессе своих первых операций училась прямо по ходу атаки. Они внимательно анализировали опыт, тактику, а также инструменты других преступных групп. Они постоянно пробовали применять на практике новые техники и способы краж из различных банковских систем, в числе которых АРМ КБР, банкоматы, карточный процессинг.

Навыки в области реверс-инжиниринга и пентеста, уникальные инструменты, которые хакеры создали для взлома банковских систем, выбор неизвестного трояна для патчинга, а также многочисленные ошибочные действия подтвер- ждают гипотезу о том, что бэкграунд Silence, скорее всего, легитимный. Как минимум один из хакеров работал (или продолжает работать) в компании, специализирующейся на информационной безопасности. Чем дольше мы изучали группу, тем более устойчивой становилась версия о том, что мы имеем дело с одним или несколькими whitehat, которые перешли на темную сторону.

После того, как Group-IB вышла на след Silence, ее участники перешли в контратаку. Одно из фишинговых писем было сознательно направлено на адрес CERT-GIB (Центр реагирования на инциденты информационной безопасности Group-IB). Вряд ли это была атака в чистом виде, скорее «вызов». И мы его приняли.

Отчет, который можно сказать здесь, является первым подробным исследованием, раскрывающим преступления группы Silence. Здесь мы описываем, как хакеры Silence совершали хищения из различных финансовых систем, как развивалась эта группа и как вела разработку своих уникальных инструментов. Для технических специалистов мы выделили отдельные разделы, позволяющие изучить часть методов и технологий, которые можно использовать для хантинга за этой группой. Также мы приводим подробный анализ уникальных инструментов, созданных Silence, технические индикаторы компрометации, YARA и IDS правила для успешного выявления атак этой группы.
Silence: действующие лица
Рабочая версия экспертов Group-IB предполагает, что в команде Silence четко прослеживаются две роли — оператора и разработчика. Вероятно, оператор является лидером группы, по характеру действий он — пентестер, хорошо знакомый с инструментарием для проведения тестов на проникновение в банковскую инфраструктуру. Эти знания позволяют группе легко ориентиро- ваться внутри атакуемого банка. Именно оператор получает доступ к защи- щенным системам внутри банка и запускает процесс хищений.

Разработчик параллельно является реверс-инженером с достаточно высокой квалификацией. Его академические знания о том, как создаются программы, не мешают ему делать ошибки в коде. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные эксплойты и чужие программы. При этом для патчинга он использует малоизвестный троян, ранее не встречавшийся ни у одной другой группы. Кроме того, он знает технологии работы банкоматов и имеет доступ к сэмплам вредоносного ПО, которые, как правило, содержатся в базах компаний, занимающихся информационной безопасностью.
Языковой след
Как и большинство финансово-мотивированных APT-групп, участники Silence русскоговорящие, о чем свидетельствуют язык команд программ, приоритеты по расположению арендуемой инфраструктуры, выбор русскоязычных хосте- ров и локация целей преступников:
  • Команды трояна Silence — русские слова, набранные на английской раскладке: htrjyytrn > reconnect > реконнект
    htcnfhn > restart > рестарт
    ytnpflfybq > notasks > нетзадач
  • Основные цели находятся в России, хотя фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах в Центральной и Запад- ной Европы, Африки и Азии.
  • Для аренды серверов Silence пользуются услугами русскоговорящих хостеров.
«Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы, очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой – пентестами и реверс-инжинирингом. Они тщательно изучают деятельность других киберпреступников, анализируют отчеты антивирусных и Threat Intelligence компаний, что не мешает им делать множество ошибок и учиться прямо по ходу атаки. Ряд инструментов Silence – легитимны, другие разработали они сами, взяв на вооружение опыт других групп. Изучая деятельность Silence, мы предположили, что вероятнее всего это пример того, как whitehat становятся blackhat. Это значительно усложняет работу форензик-экспертов, но сильно упрощает возможность встать на путь хакера».
Дмитрий Волков
Руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB
Таймлайн и география атак
Успешные атаки Silence ограничиваются странами СНГ и Восточной Европой, а основные цели находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане. Однако единичные фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах Центральной и Западной Европы, Африки и Азии: Киргизия, Армения, Грузия, Сербия, Германия, Латвия, Чехия, Румыния, Кения, Израиль, Кипр, Греция, Турция, Тайвань, Малайзия, Швейцария, Вьетнам, Австрия, Узбекистан, Великобритания, Гонконг и другие.
2016 год, июль — неудачная попытка вывода денег через российскую систему межбанковских переводов АРМ КБР. Злоумышленники получили доступ к системе, но атака сорвалась из-за неправильной подготовки платежного поручения. В банке остановили подозрительную транзакцию и провели реагирование собственными силами, постаравшись устранить последствия атаки. Это привело к новому инциденту.

2016 год, август — новая попытка взлома того же банка. Спустя всего месяц (!), после провала с АРМ КБР, хакеры восстанавливают доступ к серверам этого банка и предпринимают повторную попытку атаковать. Для этого они загрузили программу для скрытого создания скриншотов экрана пользователя и начали изучать работу операторов по псевдо-видеопотоку. На этот раз банк принял решение о привлечении экспертов Group-IB для реагирования на инцидент. Атака была предотвращена. Однако восстановить полную хронологию инцидента не удалось, т.к. при попытке самостоятельно очистить сеть, ИТ-служба банка удали- ла большую часть следов активности злоумышленников.

2017 год, октябрь — первый известный нам успешный случай вывода денег этой группой. На этот раз Silence атаковали банкоматы. За одну ночь им удалось похитить 7 млн. рублей. В этом же году они проводили DDoS-атаки с помощью Perl IRC бота, используя публичные IRC чаты для управления троянами.

После неудачной атаки через систему межбанковских переводов в 2016 году преступники больше не пытались вывести деньги через нее, даже имея доступ к серверам АРМ КБР.

2018 год, февраль — успешная атака через карточный процессинг: за выходные им удалось снять с карточек через банкоматы партнера банка 35 млн. рублей.

2018 год, апрель — уже через два месяца группа возвращается к прежней схеме и выводит деньги через банкоматы. Им удается за одну ночь «вынести» порядка 10 млн. рублей. На этот раз созданные Silence программы были усовершенствованы: избавлены от лишних функций и прежних ошибок.
Отчет
Silence:
Moving into the Darkside