Хакерская группа Silence атаковала 15 ноября ряд российских банков, разослав от имени Центробанка РФ письма с вредоносным программным обеспечением, пишет «Коммерсантъ».
Атакующие стилизовали рассылаемые письма и документы под те, которые отправляет Банк России. По мнению экспертов, образцы этих документов хакеры получили, взломав почтовые ящики сотрудников банков.
Пока неизвестно, есть ли среди атакованных финансовых организаций пострадавшие.
О том, что российские банки получили вредоносную рассылку якобы с почтового ящика ЦБ РФ, сообщила Group-IB и подтвердили в «Лаборатории Касперского». Хакеры подделали адрес отправителя, но по какой-то причине не стали использовать SSL-сертификаты для прохождения проверки на подлинность.
Письма, озаглавленные как «Информация центрального банка Российской Федерации», предлагали банкирам ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Для этого получатель должен был распаковать архив.
Распаковка архива приводила к загрузке вредоносной программы Silence.Downloader.
«Стиль и оформление письма практически идентичны официальным рассылкам регулятора,— рассказали в Group-IB. Скорее всего, хакеры имели доступ к образцам подлинных сообщений». В компании полагают, что для этого злоумышленники или взломали почтовые ящики сотрудников банка, либо занимались или занимаются легальной работой — пентестами (тестированием безопасности компьютерных систем с помощью моделирования хакерской атаки) и реверс-инжинирингом (попытками воспроизвести код каких-либо программ). «Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем»,— полагают в Group-IB.
Да этого аналогичная атака была зафиксирована 23 октября. Тогда якобы с адреса ФинЦЕРТ (структуры ЦБ, занимающейся кибербезопасностью) банки получили письмо с вложениями, стилизованными под документы регулятора, которые содержали вредоносную программу — загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Серверная инфраструктура, используемая атакующими, ранее использовалась в атаках, за которыми предположительно стояли хакеры из группировки MoneyTaker.
«Silence и MoneyTaker являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций», — рассказал эксперт по киберразведке Рустам Миркасымов. По его словам, хакеры из MoneyTaker используют все возможные векторы атак на банки, а Silence менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но зато уделяют больше внимания содержанию и оформлению текста писем.