Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
15 ноября, источник: Коммерсантъ, (новости источника)

Хакеры под видом ЦБ атаковали российские банки

Хакерская группа Silence атаковала в четверг, 15 ноября, российские банки — под видом ЦБ РФ разослала письма с вредоносным программным обеспечением. Для этого атакующие стилизовали письма и документы под те, которые рассылает Банк России. Пока неизвестно, есть ли среди финансовых организаций пострадавшие. По мнению экспертов, образцы этих документов хакеры получили, взломав почтовые ящики сотрудников банков.

Источник: Reuters

О том, что российские банки получили вредоносную рассылку якобы с почтового ящика ЦБ РФ, сообщила Group-IB и подтвердили в «Лаборатории Касперского». Хакеры подделали адрес отправителя, но по какой-то причине не стали использовать SSL-сертификаты для прохождения проверки на подлинность.

Письма, озаглавленные как «Информация центрального банка Российской Федерации», предлагали банкирам ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Для этого получатель должен был распаковать архив.

Распаковка архива приводила к загрузке вредоносной программы Silence.Downloader. Эти инструменты используют хакеры из Silence. «Стиль и оформление письма практически идентичны официальным рассылкам регулятора, — рассказали в Group-IB. Скорее всего, хакеры имели доступ к образцам подлинных сообщений». В компании полагают, что для этого злоумышленники или взломали почтовые ящики сотрудников банка, либо занимались или занимающиеся легальной работой — пентестами (тестированием безопасности компьютерных систем с помощью моделирования хакерской атаки) и реверс-инжинирингом (попытками воспроизвести код каких-либо программ).

«Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем», — полагают в Group-IB.

До этого аналогичная атака была зафиксирована 23 октября. Тогда якобы с адреса ФинЦЕРТ (структуры ЦБ, занимающейся кибербезопасностью) банки получили письмо с вложениями, стилизованными под документы регулятора, которые содержали в себе вредоносную программу — загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Серверная инфраструктура, используемая атакующими, ранее использовалась в атаках, за которыми предположительно стояли хакеры из группировки MoneyTaker.

Silence и MoneyTaker являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций.
Рустам Миркасымов
эксперт по киберразведке

«Хакеры из MoneyTaker используют все возможные векторы атак на банки, а Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем», — считает эксперт по киберразведке Рустам Миркасымов.

«Атакующие используют известный и по-прежнему очень эффективный метод — получают доступ к внутренней банковской сети и закрепляются в ней.— пояснил “Ъ” ведущий антивирусный эксперт “Лаборатории Касперского” Сергей Голованов.— В течение долгого времени киберпреступники изучают внутреннюю инфраструктуру сети и производят запись с экранов машин сотрудников банка». После анализа того, как используется внутрибанковское программное обеспечение, хакеры осуществляют перевод денежных средств из банка.

Silence — малочисленная российская хакерская группа, зафиксированная в 2016 году. Эксперты полагают, что за ними числятся атаки на системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР. Хакеры атакуют цели в основном в России, Украине, Белоруссии, Азербайджане, Польше и Казахстане.

Виталий Солдатских, Вероника Горячева