Для атаки на российские банки хакеры воспользовались фейковым адресом Банка России
Наряду с «Лабораторией Касперского», вредоносная рассылка по российским банкам с фейкового адреса ЦБ России была зафиксирована компанией Group-IB
Сотрудники ряда банков рассказали, что 15 ноября хакерской группой Silence была осуществлена вредоносная рассылка по российским банкам, причем для нее был использован фейковый адрес Центробанка России. Позже информация была подтверждена «Лабораторией Касперского».
По словам ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, 15-го числа мы действительно зафиксировали фишинговую рассылку, замаскированную под уведомления от имени российского регулятора. В таких случаях упоминание госорганизации — это практика, получившая широкое распространение. Тут важно понимание того, что настоящих ресурсов регулятора хакеры не затронули и они по-прежнему защищены, а фальшивые письма, как правило, схожи с настоящими только дизайном и стилем текста.
Эта рассылка - часть целевой атаки The Silence. Впервые эту атаку, направленную на финучреждения, эксперты «Лаборатории Касперского» обнаружили в октябре 2017 года.
Атакующие пользуются известным и по-прежнему очень эффективным методом — получая доступ к внутренней банковской сети и закрепляются в ней. Долгое время киберпреступниками изучается внутренняя инфраструктура сети, они записывают с экранов машины сотрудников банка. И, проанализировав данные об использовании внутрибанковского ПО, хакеры переводят денежные средства.
Наряду с «Лабораторией Касперского», массовая вредоносная рассылка по российским банкам с фейкового адреса российского Центробанка была зафиксирована компанией Group-IB.
По словам представителя компании, понятно, сам ЦБ не имеет к рассылке ни малейшего отношения — хакеры попросту подделали его адрес, при этом SSL-сертификаты для прохождения проверки DKIM не были использованы. В письмах была такая тема: «Информация Центрального банка РФ», адресатам предлагалось прочитать постановление регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и сразу же начать исполнять «приказ». Местом размещения документов был вложенный архив, после распаковки которого начиналась загрузка Silence.Downloader — инструмента, используемого хакерами Silence.
По словам экспертов Group-IB, по своему стилю и оформлению письма практически нельзя отличить от официальных рассылок регулятора. По всей видимости, у хакеров был доступ к образцам подлинных сообщений. Стоит напомнить, что в соответствии с данными отчета Group-IB, который вышел в сентябре т.г., в Silence участвуют люди, которые предположительно занимались или занимаются легальной работой (пентесты и реверс-инжиниринг), этим и можно объяснить их хорошее знание документооборота в финансовом секторе и работу банковских систем.
