Круглосуточная линия+7 495 984-33-64Электронная почтаАдрес офисаМосква, 115088, Шарикоподшипниковская, 1, БЦ «Прогресс Плаза», 9 этаж
Сообщить об инциденте

15 ноября 2018

Сразу две хакерские группы атаковали российские банки от имени Центробанка

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального Банка России и ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ. Эксперты Group-IB установили, что атаку 15 ноября могла провести хакерская группа Silence, а 23 октября — MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций.

 

Атака в ноябре: Silence

Утром 15 ноября Group-IB зафиксировала массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. SSL-сертификаты для прохождения проверки DKIM не использовались. Письма с темой «Информация центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader —инструмент, который используют хакеры Silence.

Эксперты Group-IB отметили, что стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой — пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.

Получателями рассылки от 15 ноября стали не менее 52 банков в России и не менее 5 банков за рубежом. Цифры основаны на статистике, собранной системами Group-IB TDS. Но, основываясь на данных по предыдущим атакам, можно подсчитать, что атака велась, скорее всего, по более чем 100 организациям.

 

Атака в октябре: MoneyTaker

Письмо, отправленное 23 октября также с поддельного адреса ФинЦЕРТ, содержало пять вложений, стилизованных под официальные документы ЦБ. Среди них: «Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc». Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Кроме того, серверная инфраструктура, задействованная в ней, неоднократно использовалась с предыдущих атаках хакерами MoneyTaker. Все это позволило предположить, что за октябрьской атакой якобы от имени ЦБ стоят именно они.

Аналитики Group-IB считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков. Полученная информация используется MoneyTaker для проведения целевых атак на банки, в том числе при формировании писем, которые копируют документы регулятора.

Фишинговая рассылка, сделанная от имени ЦБ — довольно распространенный среди киберпреступников вектор атаки, им пользовались группы Buhtrap, Anunak, Cobalt, Lurk. Например, в марте 2016 года злоумышленники рассылали фишинговые письма с info@fincert.net. Что касается реальных оповещений от имени ЦБ России, ранее для доставки вредоносных программ сотрудникам банков их использовали хакеры из Lurk и Buhtrap.

Начиная с июля ФинЦЕРТ использует для информационного обмена автоматизированную систему обработки инцидентов, которая позволяет осуществлять защищённый и оперативный обмен информацией об инцидентах и операциях, совершенных без согласия клиента на основе базы данных „Фид-Антифрод“. Резервным каналом доставки информации является канал электронной почты. Все сообщения, отправляемые посредством электронной почты, подписаны ЭЦП ФинЦЕРТ.

Рустам Миркасымов

Пресс-служба
Банка России

Информация и индикаторы атаки от 23 октября и 15 ноября были оперативно загружены в систему Threat Intelligence, что позволило предупредить клиентов Group-IB из числа российских банков о потенциальной угрозе. Group-IB TDS детектировала обе рассылки с однозначным вердиктом об опасной вредоносной активности. В режиме inline система Group‑IB заблокировала угрозу автоматически.

MoneyTaker и Silence являются двумя из 4 наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций. Хакеры из MoneyTaker используют все возможные векторы атак на банки: они могут, например, отправить фишинговое письмо, провести drive by атаку или тестирование сетевой инфраструктуры банка на наличие уязвимостей. А уже после получения доступа к внутренним узлам сети хакеры легко проводят атаки и вывод денег через банкоматы, карточный процессинг или систему межбанковских переводов (в России — АРМ КБР, автоматизированное рабочее место клиента Банка России). Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем.

Рустам Миркасымов

Рустам Миркасымов

Руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 16-летний опыт расследования киберпреступлений по всему миру и более 55 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте