Центробанк разослал по банкам предупреждение о том, что у них появилась новая угроза — фишинговая рассылка писем с троянской программой, которую осуществляет хакерская группировка Silence, атакующая банки с прошлогодней весны, но до недавних пор считалось, что эти атаки, главным образом, совершала недавно обезглавленная группировка Cobalt. Тогда как Silence, вокруг которой шумиха отсутствовала, быть может, по мнению экспертов, представляет не меньшую опасность, чем Cobalt.
От участников рынка стало известно, что на днях ФинЦЕРТ (подразделение ЦБ по кибербезопасности) в рамках информобмена разослал по банкам уведомления о новой угрозе. В уведомлении рассказано про фишинговую рассылку вредоносного ПО, содержащего троян intel security.exe. По мнению экспертов, этот вредонос создала преступная группировка Silence («Тишина»), в прошлом году атаковавшая банки в ряде стран (Россия, Армения и Малайзия). По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, по своей специфике это вредоносное вложение более чем схоже с используемыми Silence. У каждой такой группировки есть свои особенности, поэтому их классификация в техническом плане вполне возможна.
Банк России подтвердил сообщение о вредоносном ПО. Хакеры используют ВПО этого типа с весны прошлого года, ФинЦЕРТ были зафиксированы случаи его распространения еще до того, как его классифицировали как Silence.
И все же до последнего времени о Silence практически ничего не было известно. До конца марта т.г. главную угрозу для банков в России представляла группировка Cobalt, в прошлом году ею было совершено 240 атак на российские банки, 11 из которых 11 оказались успешными - хакеры похитили свыше 1 млрд руб. Но после того, как полиция задержала главу группировки, ее деятельность была приостановлена. У Cobalt и Silence похожие методы, по мнению экспертов, но различия все же есть. Cobalt занималась «оптовыми» рассылками, отправкой вредоноса сразу в сотни банков. Действия Silence более избирательны. По словам старшего антивирусного аналитика "Лаборатории Касперского" Сергея Ложкина, злоумышленниками используется инфраструктура уже зараженных банков, ими отправляются сообщения от имени настоящих сотрудников в другие банки. Нередко текст фишинг-письма можно сравнить со стандартным запросом на открытие корреспондентского счета - и не увидеть никаких отличий. Как сказал Новиков, Cobalt занимался рассылкой ВПО, эксплуатирующего уязвимости, а Silence - это рассылка файлов с расширением .chm, вредоносное вложение запускается без использования уязвимости, с помощью стандартного функционала Windows.
И хоть пока официально не было заявлено о «жертвах» Silence, по мнению экспертов, можно допустить, что именно ею совершены некоторые атаки, приписываемые Cobalt.
По словам Новикова, в некоторых случаях совпадали и жертвы — банк атаковали две группировки одновременно, и потому вполне вероятно, что некоторые "успешные" атаки попросту приписали Cobalt. Как пример, можно привести атаки с выводом денежных средств через SWIFT. Многие помнят декабрьскую атаку на банк "Глобэкс. Сразу которого, также в декабре прошлого года, с атакой столкнулся другой банк, и хакеры предприняли безуспешную попытку вывода средств тоже через SWIFT. Что интересно, в этом банке обнаружили две рассылки с вредоносным ПО — от Silence и от Cobalt.
По словам представителя Банка России, в ФинЦЕРТ продолжают углубленно технически анализировать сложные компьютерные атаки, имевшие негативные последствия, если будет необходимо, участники информобмена получат дополнительную информацию. Работа всех вредоносов, используемых для атак на банки, основана на примерно одинаковых принципах, а использующие их лица преследуют примерно одинаковую цель. Поэтому, чтобы принять первоочередные меры по пресечению атак, важно не то, как называется группировка, а каковы индикаторы компрометации каждой отдельно взятой атаки.
