Самая крупная атака года
В России была зафиксирована самая крупная с начала 2019 г. атака в киберпространстве, сообщает ИБ-компания Group-IB. Атака представляла собой массированную рассылку вредоносных электронных писем, осуществленную хакерской группировкой Silence.
В общей сложности опасные письма получили более 80 тыс. пользователей. Это были сотрудники банков, крупных платежных систем и других российских кредитно-финансовых организаций.
В чем заключалась ловушка
С 19 по 20 февраля в Москве должен состояться XIX Международный форум iFin-2019 «Электронные финансовые услуги и технологии». Злоумышленники воспользовались этим, чтобы замаскировать вредоносные письма под приглашения на форум. В Group-IB отмечают, что ранее участники Silence такую уловку не использовали.
Реальные организаторы форума разослали уведомления о его проведении 16 января около 9:00 по Москве. Через несколько часов после этого Silence разослала фальшивые приглашения на форум, которые содержали переделанный текст настоящих приглашений. Исследователи безопасности отмечают некоторую безграмотность текста письма хакеров. Автором опасной рассылки был указан Forum iFin-2019, но она велась с адреса info@bankuco[.]com.
В рассылке злоумышленники предлагали пользователям заполнить анкету, прикрепленную к письму в архиве, и отправить ее им. За это они обещали два бесплатных пригласительных на форум и возможность разместить название банка жертвы на официальном портале форума. ZIP-архив, приложенной к письму, содержал помимо приглашения вредоносное вложение Silence.Downloader, он же TrueBot. Этот инструмент использует только Silence, поясняют эксперты.
В Group-IB отмечают, что обычно под приглашения на различные мероприятия свои вредоносные рассылки маскируют те хакеры, которые работают на государство и занимаются шпионажем. Получателями рассылок как правило выступают военные ведомства, посольства, министерства и СМИ. Для маскировки используются приглашения на различные конференции НАТО, ООН или ЕС. Приложенные к ним вредоносные программы предназначены для слежки за пользователем.
Кто такие Silence
Исходя из того факта, что в рассылке использовался текст реального приглашения на форум, исследователи делают вывод, что участники Silence имеют и легальную работу — например, в сфере пентеста и реверс-инжиниринга в финансовом секторе. Такая версия уже выдвигалась и ранее. Вообще же Silence — это немногочисленная и слабо изученная группировка.
Наличие у хакеров из группы легальной работы подтверждается и тем, что другие их рассылки также были связаны с финансовым сектором. Две из них были отправлены в российские банки от имени начальников отделов межбанковских операций ЗАО «Банк ICA» и ЗАО «Банкуралпром». В реальности таких банков не существует. Маскировочные письма представляли собой просьбу как можно быстрее открыть корреспондентские счета для ЗАО. К ним был прикреплен архив с договором, в котором содержалось вредоносное ПО Silence.Downloader.
В этих рассылках тоже была отмечена неаккуратность составленных писем. Письмо от «Банкуралпрома» было подписано именем другого банка — ЗАО «БанкЮКО», которого опять-таки не существует в реальности. В качестве адресов были указаны Челябинская область, город Магнитогорск, улица Гагарина, дома 17 и 25. В действительности по этим адресам находятся офис другой кредитно-финансовой организации и жилой дом.
В ноябре Silence осуществили еще одну рассылку на банковскую тематику — хакеры подделали адрес Центробанка и отправили с него письма в российские и зарубежные банки. Письма были составлены и оформлены очень похоже на реальные письма ЦБ. Рассылка содержала архив с фальшивым постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ», которое пользователям предлагалось прочесть и начать выполнять. В архиве было также вредоносное ПО. Рассылку получили как минимум 52 российских и пять зарубежных банков.
По словам Рустама Миркасымова, руководителя отдела динамического анализа вредоносного кода и эксперта по киберразведке Group-IB, масштаб действий Silence растет — их мишенями теперь становятся не только российские, но и зарубежные банки. После того, как исследователи опубликовали отчет с описанием ее атак, группа изменила схему работы. «На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker», — подчеркнул Миркасымов.
Новогодний сезон
В период с 25 декабря по 14 января хакеры начинают активнее атаковать банки. Это связано с несколькими факторами. Во-первых, накануне праздников на банковских счетах находится больше средств. Во-вторых, сотрудники банков, в том числе отвечающие за безопасность, зачастую ослабляют бдительность либо уходят в отпуск в этот период.
Silence осуществила предновогоднюю вредоносную рассылку по банкам с 25 по 27 декабря. Письма были отправлены от лица соучредителя несуществующей фармацевтической компании, которая предлагала банкам открыть для нее корпоративный счет и стать ее новым партнером по зарплатному проекту. В письме была расписана структура филиалов компании и указано количество сотрудников. Там даже имелся дизайн-макет брендированной банковской карты для сотрудников компании.
Исследователи отмечают, что в этой рассылке был использован элемент социальной инженерии — такое предложение от клиента выглядит привлекательно в глазах сотрудника банка, что повышает вероятность распаковки архива и загрузки вредоносного ПО на компьютер.