Нова російськомовна група "Мовчання", пов'язана з крадіжкою щонайменше 800 000 доларів США з банків і фінансових установ Росії та Східної Європи.
Згідно з новим звітом, опублікованим сьогодні, принаймні один член нещодавно викритої хакерської групи кіберзлочинців є колишнім або нинішнім співробітником компанії з кібербезпеки.
Про це йдеться у звіті, опублікованому московською фірмою з кібербезпеки Група-IB, розкриває діяльність кіберзлочинної групи під назвою Silence, про яку раніше не повідомляли.
За даними Group-IB, група провела останні три роки, влаштовуючи тихі кібератаки на фінансові установи в Росії та Східній Європі.
Групу роками залишали непоміченою, головним чином через її схильність до використання законних програм та інструментів, уже знайдених на комп’ютерах жертв, у тактиці, відомій як «жити за рахунок землі».
Але Silence також створили власні інструменти, такі як:
- Silence-- основа для атак на інфраструктуру;
- Атмосфера - набір програмних засобів для атак на банкомати;
- Farse - інструмент для отримання паролів від зламаного комп'ютера;
- Cleaner--інструмент для видалення логів.
Ці інструменти в поєднанні з тактикою лежання групи допомогли їй залишатися поза увагою набагато довше, ніж багатьом її аналогам.
Дивись також: Утиліта Windows, яка використовується шкідливим програмним забезпеченням у нових кампаніях крадіжки інформації
Після річного розслідування методів роботи групи Group-IB стверджує, що група була пов’язана зі зломами ще в 2016 році.
Перший зафіксований злом, який приписують Silence, стався в липні 2016 року. Злом був невдалою спробою зняти гроші через російську систему міжбанківських транзакцій, відому як AWS CBR (Автоматизоване робоче місце клієнта Центрального банку Росії).
«Хакери отримали доступ до системи, але атака не увінчалася успіхом через неправильне оформлення платіжного доручення. The
Співробітники банку призупинили транзакцію», – йдеться в повідомленні Group-IB.
Однак зусилля банку з відновлення не вистачали, і Silence відновив доступ до мережі того самого банку через місяць, у серпні 2016 року. Цього разу вони обрали інший підхід.
«[Сайленс] завантажив програмне забезпечення для таємного створення скріншотів і почав досліджувати роботу оператора через відеопотік. Цього разу банк звернувся до Group-IB з проханням відреагувати на інцидент. Напад
було зупинено. Однак повний журнал інциденту було неможливо відновити, оскільки, намагаючись очистити мережу, ІТ-команда банку видалила більшість слідів зловмисника», – повідомили в Group-IB.
Але група Silence не зупинилася після цих перших незграбних спроб злому. Їм таки вдалося зламати банк і нарешті викрасти трохи грошей більш ніж через рік, у жовтні 2017 року.
За даними Group-IB, група припинила спроби переказати гроші за допомогою системи AWS CBR і перейшла на націлювання на системи контролю банкоматів банку, змушуючи банкомати викидати готівку (відомий як джекпотінг) у бажаний момент години.
Слідчі кажуть, що Сайленс вкрав понад 100 000 доларів під час свого першого успішного кіберпограбування. Пізніше було виявлено й інші хаки, що йдуть за цією ж схемою, і вони відстежуються до групи Silence у наступні місяці, як-от крадіжка понад 550 000 доларів США в лютому 2018 року та ще 150 000 доларів США у квітні 2018.
Дивись також: FIN6 повертається для атаки на системи роздрібних торгових точок у США та Європі
Це угруповання не настільки успішне, як інші злочинні групи, які, як відомо, націлені на фінансові установи, такі як Cobalt, Buhtrap або MoneyTraper, усі пов’язані з багатомільйонними пограбуваннями.
Причина, на думку експертів Group-IB, полягає в тому, що «Мовчання» — це операція лише двох осіб, отже, вони не мають таких великих людських ресурсів, щоб кинути свої цілі, як інші групи.
Саме тому їм знадобилося більше року, щоб розробити зловмисне програмне забезпечення Atmosphere, яке вони використовували під час атак з видачі грошей у банкоматах у 2017 році та пізніше.
Хронологія атак і інструментів Silence
Але саме тоді, коли дослідники Group-IB проаналізували весь арсенал зловмисного програмного забезпечення групи, вони виявили, що, незважаючи на те, що це група з двох осіб, Silence насправді була досить хорошою в тому, що вона робила.
Дослідники кажуть, що група була дуже ефективною у створенні фішингових електронних листів. Ці фішингові електронні листи використовували експлойти для таких уразливостей Windows і Office CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263 і CVE-2018-8174 .
Експлойти імплантували модульну структуру зловмисного ПЗ Silence у системи жертви. Група використовуватиме локально встановлені інструменти для розвідки та бокового пересування, і розгортатиме Atmosphere лише тоді, коли буде відомо, що вони заразили відповідний комп’ютер, на якому працює спеціальне програмне забезпечення для банкоматів.
За потреби група також вручну модифікувала зловмисне програмне забезпечення, розроблене іншими шахраями, наприклад бекдор Kikothac, завантажувач Smoke або бот Undernet DDoS.
Group-IB стверджує, що саме ці модифікації шкідливого програмного забезпечення сторонніх розробників спонукали її дослідників досягти висновок, що принаймні один із учасників групи Silence працював або досі працює у сфері кібербезпеки промисловість.
Group-IB назвала членів групи Silence кодовими назвами The Developer і The Operator. Вони кажуть, що перший розробив або модифікував усі зловмисні програми групи, тоді як другий використовував їх для зараження банків і здійснення зломів.
Розробник, зокрема, продемонстрував глибокі знання про сімейства шкідливих програм і навички зворотного проектування, але йому бракувало знань для написання високоякісного коду з нуля – типова риса більшості дослідників безпеки, які витрачають більшу частину свого часу на реверсивний код інших людей, а не на написання свого власні.
«Очевидно, що злочинці, відповідальні за ці злочини, в певний момент були активними в спільноті безпеки. Або як тестувальники проникнення, або реверс-інженери», — сказав Дмитро Волков, директор з технологій і керівник відділу аналізу загроз Group-IB.
«[Розробник] точно знає, як розробляти програмне забезпечення, але він не знає, як правильно програмувати».
Дивись також: Це зловмисне програмне забезпечення маскується під банківську безпеку для рейду на ваш рахунок
Що стосується походження Silence, то Group-IB вважає, що вони перебувають або в Росії, або в іншій російськомовній країні.
«Експерти Group-IB дійшли висновку, що Silence — це група російськомовних хакерів, виходячи з мови їх команд, розташування інфраструктури, яку вони використовували, і географія їхніх цілей (Росія, Україна, Білорусь, Азербайджан, Польща та Казахстан)", - повідомила російська фірма з кібербезпеки сьогодні в пресі. реліз.
«Крім того, Silence використовував російські слова, набрані на англійській розкладці клавіатури для команд задіяного бекдору. Також хакери використовували російськомовні веб-хостингові».
Group-IB не повідомила імена зламаних банків, але лише сказала, що "наразі були успішні атаки". обмежено країнами СНД і Східної Європи", хоча група надсилала фішингові електронні листи банкам по всьому світу. світ.