Хакеры из группы Silence разослали 15 ноября российским банкам письма с вредоносным программным обеспечением от имени Центрального банка России
Pixabay.com

Хакеры из группы Silence разослали 15 ноября российским банкам письма с вредоносным программным обеспечением от имени Центрального банка России. Об этом заявили в международной компании Group-IB, специализирующейся на предотвращении кибератак.

По информации компании, в письмо с заголовком "Информация центрального банка Российской Федерации" предлагалось ознакомиться с постановлением "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и незамедлительно приступить к исполнению "приказа". Для этого нужно было скачать и распаковать архив Silence.Downloader, где и содержался вирус.

"Стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений", - рассказали в Group-IB.

Эксперты пояснили, что для этого злоумышленники могли взломать почтовые ящики сотрудников банка или провели тестирование безопасности компьютерных систем с помощью моделирования хакерской атаки.

Получателями рассылки от 15 ноября стали не менее 52 банков в России и не менее 5 банков за рубежом. Но, основываясь на данных по предыдущим атакам, можно предположить, что были атакованы более 100 организаций. Как минимум три банка из атакованных входят в топ-30, отмечает The Bell.

Эксперты считают, что участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой - пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.

Впервые Silence зафиксировали в 2016 году. Хакеры этой группы атакуют цели в России, на Украине, в Белоруссии, Азербайджане, Польше и Казахстане, пишет "Новая газета". В основном хакеры искали бреши в системе управления банкоматов, карточном процессинге и российской системе межбанковских переводов АРМ КБР.

Ранее сообщалось, что Silence удалось похитить 52 млн рублей только из российских банков.

В "Лаборатории Касперского" "Интерфаксу" сообщили, что тоже зафиксировали фишинговую рассылку, маскирующуюся под ЦБ, 15 ноября. Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов передал через пресс-службу, что эта рассылка стала частью целевой атаки The Silence, впервые зафиксированной в октябре 2017 года.

Сколько банков попались на удочку хакеров - непонятно. ЦБ утверждает, что банки были предупреждены, но у Group-IB есть информация по крайней мере о двух случаях, когда сотрудники банков открывали письма с вредоносными программами.

В дальнейшем злоумышленники могут вывести деньги через банкоматы зараженного банка, отправив деньги на свои карты, или через систему межбанковских переводов, говорит Рустам Миркасымов, эксперт по кибербезопасности Group-IB. Причем это происходит не сразу, а через несколько недель или месяцев.

Еще одна хакерская атака аналогичного типа была проведена 23 октября с поддельного адреса ФинЦЕРТ (структура Департамента информационной безопасности ЦБ). Рассылка содержала пять вложений, стилизованных под официальные документы ЦБ. Среди них: "Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc". Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager.Для управления этой атакой использовались самоподписанные SSL-сертификаты.

К этой атаке имеет отношение хакерская группа MoneyTaker. Серверная инфраструктура, задействованная злоумышленниками, ранее неоднократно использовалась MoneyTaker.

Аналитики считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков.

Фишинговая рассылка, сделанная от имени ЦБ - довольно распространенный среди киберпреступников вектор атаки, им пользовались группы Buhtrap, Anunak, Cobalt, Lurk. Например, в марте 2016 года злоумышленники рассылали фишинговые письма с info@fincert.net.