Group-IB, международная компания, специализирующаяся на предотвращении кибератак, раскрыла преступления хакерской группы Silence. Их жертвами уже стали российские банки, однако следы атак группы аналитики Group-IB обнаружили в более чем 25 странах по всему миру. Group-IB выпустила первый подробный отчет «Silence: Moving into the darkside» о деятельности группы Silence, где проанализированы инструменты, техники и схемы атак группы. Аналитики компании выдвигают гипотезу о том, что по крайней мере один из двух участников Silence — это бывший или действующий сотрудник компании сферы информационной безопасности. Подтвержденный ущерб от деятельности Silence на данный момент составляет 52 млн руб.

После того, как активность хакеров Cobalt снизилась, одной из главных угроз для российских и международных банков стала группа Silence. До недавнего времени известная лишь специалистам по кибербезопасности, Silence является примером мобильной, малочисленной и молодой группы, которая очень быстро прогрессирует. Сумма хищений Silence меньше, чем за год выросла в 5 раз: с 7 млн руб. до 35 млн. руб. Только по подтвержденным эпизодам общая сумма хищений в следствии атак Silence сегодня составляет 52 млн руб.

Больше двух лет о Silence не было ни одного упоминания, позволявшего идентифицировать ее как самостоятельную группу. Хронология и характер атак, восстановленные после проведения криминалистических экспертиз Group-IB, подтверждают то, что в начале своего пути преступники не имели навыков взлома банковских систем и во время проведения своих первых операций учились буквально на ходу. С осени 2017 группа начала заметно прибавлять в активности. Очевидно, Silence постоянно анализируют опыт других преступных групп, пробуют применять новые техники и способы краж из различных банковских систем. Среди них — АРМ КБР, банкоматы, карточный процессинг.

Впервые активность группы была зафиксирована специалистами Group-IB в 2016 году. Тогда злоумышленники попытались вывести деньги через российскую систему межбанковских переводов АРМ КБР, однако вследствие неправильной подготовки платежного поручения, хищение удалось предотвратить. В 2017 году Silence начала проводить атаки на банкоматы. В ходе первого подтвержденного экспертами Group-IB инцидента, за одну ночь хакеры вывели из банкоматов 7 млн. рублей. В 2018 году они провели атаку через карточный процессинг используя посредника: дополнительным звеном в этой атаке была компания-партнер, через банкоматы которой за выходные Silence «заработали» 35 млн. рублей. В этом же году, в апреле, то есть спустя всего два месяца группа возвращается к прежней схеме и выводит деньги через банкоматы. Им удается за одну ночь вывести порядка 10 млн. рублей. На данный момент эти инциденты позволяют сделать однозначную атрибуцию с группой Silence, однако в Group-IB убеждены, что успешных атак на банки у этих хакеров в несколько раз больше.

 

В тихом омуте: кто такие Silence?

Silence — русскоговорящие хакеры, об этом свидетельствует язык команд, расположение используемой атакующими инфраструктуры и самих целей преступников. Кроме того, написание команд бэкдора Silence, давшего название группе, это русские слова, набранные на английской раскладке. Хакеры пользуются услугами русскоязычных хостеров. Основные цели преступников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, хотя фишинговые письма отправлялись также сотрудникам банков Центральной и Западной Европы, Африки и Азии.

Костяк команды Silence состоит всего из двух человек — разработчика и оператора. Ограниченность ресурсов объясняет тот факт, что атаки они совершают избирательно, а на совершение хищений у них уходит до 3-х месяцев, что, как минимум, в три раза дольше, чем у Anunak, Buhtrap, MoneyTaker и Cobalt. Разработчик имеет навыки высококвалифицированного реверc-инженера, он разрабатывает инструменты для проведения атак, модифицирует сложные эксплойты и программы. Однако при разработке допускает немало ошибок: это характерно для вирусного аналитика или реверс-инженера, он знает, как именно пишутся программы, но не знает как правильно программировать. Второй член команды — оператор, он хорошо знаком с проведением тестов на проникновение, что позволяет ему ориентироваться внутри банковской инфраструктуры. Именно он использует разработанные инструменты для получения доступа к защищенным системам внутри банка и запускает процесс хищений.

 

Инструменты и методы Silence

Как и большинство групп, специализирующихся на целевых атаках, Silence использует фишинг. Вначале для рассылок группа использовала взломанные серверы и скомпрометированные учетные записи. Позже преступники начали регистрировать фишинговые домены, для которых создавались самоподписанные сертификаты. Фишинговые письма Silence составлены грамотно, чаще всего, они пишутся от лица сотрудников банков. Для осуществления фишинговых рассылок хакеры арендуют серверы в России и Нидерландах. Silence также используют услуги хостера с Украины для аренды серверов под командные центры. Несколько серверов было арендовано в MaxiDed, инфраструктура которого была заблокирована Европолом в мае 2018 года.

В первых операциях киберпреступники использовали заимствованный бэкдор Kikothac, что позволяет сделать вывод о том, что группа начала работу без предварительной подготовки, это были попытки проверить свои силы. Позже разработчик группы создал уникальный набор инструментов для атак на карточный процессинг и банкоматы, который включает в себя: Silence — фреймворк для атак на инфраструктуру, Atmosphere — набор программ для атак на банкоматы, Farse — утилита для получения паролей с зараженного компьютера и Cleaner — инструмент для удаления логов удаленного подключения.

Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы, очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой — пентестами и реверс-инжинирингом. Они тщательно изучают деятельность других киберпреступников, анализируют отчеты антивирусных и Threat Intelligence компаний, что не мешает им делать множество ошибок и учиться прямо по ходу атаки. Ряд инструментов Silence — легитимны, другие разработали они сами, взяв на вооружение опыт других групп. Изучая деятельность Silence, мы предположили, что вероятнее всего это пример того, как whitehat становятся blackhat. Интернет, в особенности, его андеграудная часть, открывают немало возможностей для таких метаморфоз, киберпреступником сегодня стать намного легче, чем 5-7 лет назад: можно арендовать серверы, модифицировать имеющиеся эксплойты, использовать легальные утилиты. Это значительно усложняет работу форензик-экспертов, но сильно упрощает возможность встать на путь хакера.

Дмитрий Волков

Дмитрий Волков

Технический директор, руководитель Threat Intelligence, сооснователь Group-IB

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте