Банки атакуют в тишине

   ЦБ предупредил банки о новой угрозе - фишинговой рассылке писем с трояном хакерской группировкой Silence. Она атакует банки с весны 2017 года, однако до последнего времени эти достижения в основном приписывались недавно обезглавленной группировке Cobalt. Тем временем Silence, вокруг которой не было шумихи, может быть не менее опасна, чем Cobalt, предупреждают эксперты.
   О том, что на днях ФинЦЕРТ (подразделение ЦБ по кибербезопасности) в рамках информационного обмена уведомил банки о новой угрозе, рассказали "Ъ" участники рынка. В сообщении говорится о фишинговой рассылке вредоносного программного обеспечения (ВПО) с трояном intel security.exe. Эксперты уверены, что данный вредонос принадлежит преступной группировке Silence ("Тишина"), которая в 2017 году атаковала банки в России, Армении и Малайзии. "Специфика данного вредоносного вложения более чем сходна с теми, что использует Silence,- отметил руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.- Каждая такая группировка имеет свои особенности, поэтому классифицировать их с технической точки зрения вполне возможно".
   В Банке России подтвердили факт сообщения о вредоносе. "Использование ВПО этого типа наблюдается с весны 2017 года, ФинЦЕРТ фиксировал случаи его распространения еще до того, как оно было классифицировано как Silence,- отметили в ЦБ.- 20 октября 2017 года был выпущен бюллетень с описанием ВПО и правилами обнаружения".
   Тем не менее до последнего времени о Silence почти не говорили. До конца марта 2018 года главной угрозой для банков в России считалась группировка Cobalt. В 2017 году она совершила 240 атак на российские кредитные организации, из которых 11 завершились успехом и хищением более 1 млрд руб. Но после задержания главы группировки (см. "Ъ" от 27 марта) ее деятельность приостановилась. Методы Cobalt и Silence похожи, но есть различия, указывают эксперты. Cobalt делала "оптовые" рассылки, отправляя вредонос сотне банков сразу. Silence действует более избирательно. "Злоумышленники используют инфраструктуру уже зараженных банков и отправляют сообщения от имени их настоящих сотрудников в другие кредитные организации,- говорит старший антивирусный аналитик "Лаборатории Касперского" Сергей Ложкин. -Часто текст фишингового письма выглядит как стандартный запрос на открытие корреспондентского счета". По словам Алексея Новикова, Cobalt рассылал ВПО, эксплуатирующее уязвимости, тогда как Silence присылает файлы с расширением .chm, запуск вредоносного вложения выполняется без использования уязвимости, через стандартный функционал Windows.
   "В ряде случаев и жертвы совпадали - банк был атакован двумя группировками одновременно, и потому есть определенная вероятность того, что часть "успешных" атак просто была приписана Cobalt",- указывает Алексей Новиков. Примером могут быть атаки с выводом средств через SWIFT. "Все помнят атаку в декабре 2017 года на банк "Глобэкс",- рассказывает собеседник "Ъ" в правоохранительных органах.- Сразу вслед за "Глобэксом", тоже в декабре 2017 года, был атакован еще один банк, и злоумышленники пытались вывести средства (безуспешно) также через SWIFT". И в этом банке были обнаружены две рассылки с вредоносом - и от Cobalt, и от Silence.
   В ЦБ с этим не спорят. "ФинЦЕРТ продолжает углубленный технический анализ по ряду сложных компьютерных атак, имевших негативные последствия, при необходимости дополнительная информация будет доведена до участников информационного обмена",- отметили в Банке России. У всех ВПО, используемых для атак на банки, примерно одинаковые принципы работы, а у использующих их лиц примерно одинаковые цели, поясняют в ЦБ. Поэтому, добавляют там, для принятия первоочередных мер по пресечению атаки важно не название группировки, а индикаторы компрометации конкретной атаки.

Источник: Коммерсант https://www.kommersant.ru/doc/3619240