Хакеры атаковали российские банки под видом ЦБ

Хакерская группа Silence атаковала 15 ноября ряд российских банков, разослав от имени Центробанка РФ письма с вредоносным программным обеспечением, пишет «Коммерсантъ».

Атакующие стилизовали рассылаемые письма и документы под те, которые отправляет Банк России. По мнению экспертов, образцы этих документов хакеры получили, взломав почтовые ящики сотрудников банков.

Пока неизвестно, есть ли среди атакованных финансовых организаций пострадавшие.

О том, что российские банки получили вредоносную рассылку якобы с почтового ящика ЦБ РФ, сообщила Group-IB и подтвердили в «Лаборатории Касперского». Хакеры подделали адрес отправителя, но по какой-то причине не стали использовать SSL-сертификаты для прохождения проверки на подлинность.

Письма, озаглавленные как «Информация центрального банка Российской Федерации», предлагали банкирам ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Для этого получатель должен был распаковать архив.

Распаковка архива приводила к загрузке вредоносной программы Silence.Downloader.

«Стиль и оформление письма практически идентичны официальным рассылкам регулятора,— рассказали в Group-IB. Скорее всего, хакеры имели доступ к образцам подлинных сообщений». В компании полагают, что для этого злоумышленники или взломали почтовые ящики сотрудников банка, либо занимались или занимаются легальной работой — пентестами (тестированием безопасности компьютерных систем с помощью моделирования хакерской атаки) и реверс-инжинирингом (попытками воспроизвести код каких-либо программ). «Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем»,— полагают в Group-IB.

Да этого аналогичная атака была зафиксирована 23 октября. Тогда якобы с адреса ФинЦЕРТ (структуры ЦБ, занимающейся кибербезопасностью) банки получили письмо с вложениями, стилизованными под документы регулятора, которые содержали вредоносную программу — загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Серверная инфраструктура, используемая атакующими, ранее использовалась в атаках, за которыми предположительно стояли хакеры из группировки MoneyTaker.

«Silence и MoneyTaker являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций», — рассказал эксперт по киберразведке Рустам Миркасымов. По его словам, хакеры из MoneyTaker используют все возможные векторы атак на банки, а Silence менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но зато уделяют больше внимания содержанию и оформлению текста писем.

 

Источник: polit.ru

Добавить комментарий