Rosyjskie instytucje finansowe na celowniku hakerów

19 listopada 2018, 09:00
hacked-2127635_960_720
Fot. TheDigitalArtist/Pixabay

Specjaliści Grupy-IB wykryli masowe kampanie, których celem były rosyjskie instytucje finansowe. Hakerzy podczas ataków podszywali się pod główny bank kraju.

Cyberprzestępcy rozsyłali e-maile, które były perfekcyjnymi kopiami wiadomości wysyłanych przez FinCERT (przyp. red. zespół ds. reagowania na incydenty komputerowe w sektorze finansowym) oraz rosyjski Bank Centralny. Eksperci Grupy-IB wskazują, że za atak przeprowadzony 15 listopada odpowiadają hakerzy z organizacji Silence, zaś z 23 października MoneyTaker. Obie grupy są powszechnie znane z przeprowadzania ataków na sektor finansowy.

23 października cyberprzestępcy z MoneyTaker rozsyłali fałszywe e-maile, których nadawcą miał być rzekomo FinCERT. W wiadomościach znajdowało się 5 załączników. Wśród nich znajdował się plik o nazwie „Szablon Porozumienia o współpracy z Bankiem Centralnym Federacji Rosyjskiej w sprawie Monitoringu i Wymiany Informacji.doc”. Trzy z pięciu elementów było pustymi dokumentami, dwa pozostałe zawierały plik do pobrania, na którym znajdowało się złośliwe oprogramowanie.

Eksperci Grupy-IB stwierdzają, że hakerom udało się uzyskać próbki dokumentów CBR z wcześniej zainfekowanych skrzynek mailowych, należących do pracowników rosyjskich banków. Członkowie MoneyTaker wykorzystali uzyskane informacje do zaprojektowania wiadomości  e-mail oraz dokumentów rzekomo pochodzących z odział Banku Centralnego, w celu przeprowadzenia ukierunkowanych ataków na rosyjskie banki.

Kilka tygodni później, 15 listopada Grupa-IB wykryła złośliwą kampanię e-mailową wysyłaną do rosyjskich banków z fałszywego adresu, rzekomo należącego do Centralnego Banku Rosji (CBR). Oczywiście instytucja nie miała nic wspólnego z działalnością phishingową – hakerzy celowo sfałszowali e-mail nadawcy.  W wiadomościach z tematem „Informacje z Banku Centralnego Federacji Rosyjskiej” poproszono odbiorców o zapoznanie się z decyzją organu nadzorczego spółki w sprawie standaryzacji formatu komunikacji elektronicznej CBR, a następnie natychmiastowe wdrożenie zmian. Wspomniane w treści maila dokumenty znajdowały się w załącznikach. Pobierając element, użytkownik instalował na swoim urządzeniu złośliwe oprogramowanie wykorzystywane przez hackerów z Silence.

Specjaliści Grupy-IB zauważyli, że styl oraz format wiadomości e-mail był niemal identyczny z oficjalną korespondencją wysyłaną przez władze banku. Hakerzy posiadali prawdopodobnie dostęp do próbek oraz szablonów legalnych wiadomości spółki.  Według raportu sporządzonego przez ekspertów Grupy-IB  we wrześniu 2018 roku, możliwe, że członkowie Silence byli wcześniej legalnie zatrudnieni w instytucji w związku z czym posiadali wiedzę na temat dokumentacji oraz struktur systemów bankowych.

Kampania typu „phishing” jest współcześnie jedną z najbardziej rozpowszechnionych metod działania  cyberprzestępców. Wykorzystują ją takie grupy jak chociażby Buhtrap, Anunak, Cobalt czy Lurk. Na przykład w marcu 2016 roku hakerzy wysłali wiadomości phishingowe do pracowników CBR w celu zainfekowania urządzeń i systemów.

„FinCERT wykorzystuje automatyczny system przetwarzania incydentów, który umożliwia bezpieczne i szybkie udostępnianie informacji o cyberatakach i nieautoryzowanych operacjach w oparciu o bazę danych Feed-Antifraud” – komentuje serwis prasowy rosyjskiego Banku Centralnego. W specjalnym oświadczeniu władze instytucji stwierdziły, że wszystkie legalne wiadomości e-mail wysyłane za pośrednictwem poczty elektronicznej zawierają elektroniczny podpis FinCERT.

Rustam Mirkasymov, kierownik ds. analizy złośliwego oprogramowania, stwierdził, że obie grupy – MoneyTaker i Silence – stanowią realne zagrożenie dla międzynarodowych organizacji finansowych. Dokonując ich krótkiej charakterystyki, powiedział: „Hakerzy MoneyTaker wykorzystują wszystkie możliwe sposoby ataku (…) Na przykład mogą wysyłać wiadomości typu spear phishing, przeprowadzać ataki driver-by lub włamywać się do systemów obsługujących bankomaty, karty kredytowe lub przekazy międzybankowe”. Z kolei odnosząc się do Silence zauważył, iż członkowie tej organizacji są mniej zaradni i do ataków wykorzystują przede wszystkim metodę phishingowych e-maili.

KomentarzeLiczba komentarzy: 1
colonel
wtorek, 20 listopada 2018, 17:58

Intrygujący tytuł pliku, to jeden z lepszych e-wabików, znany powszechnie co najmniej od czasów Mini Duke'a. Ale na uwagę bardziej zasługuje zmiana kierunku ataku czyli strzał w kierunku FR. Cóż, tak się czasem kończy zabawa z systemowym wykorzystaniem przez państwo wszelkiego typu przestępców - dość zjawisko na wschodzie. No ale panowie z FAPSI muszą coś robić. Są przecież jeszcze w sile wieku.

Reklama C24-A1
Reklama
Tweets CyberDefence24