Русскоязычная группа хакеров провела масштабную атаку на банки страны

Как сообщили «ВМ» в Group-IB, международной компании, которая специализируется на борьбе с киберпреступностью, самое крупное с начала года хакерское наступление, затронувшее более 80 000 сотрудников финансового сектора, провела группа Silence - одно из самых малочисленных и слабоизученных хакерских объединений.

Массированная атака началась 16 января с фишинговых рассылок (вид интернет-мошенничества для получения доступа к конфиденциальным данным пользователей), замаскированных под приглашение на международный финансовый форум, который действительно будет проходить в Москве на этой неделе. Фальшивая рассылка велась от имени «Forum iFin-2019» с адреса info@bankuco.com, причем за основу сообщения хакеры взяли текст официального приглашения, слегка его отредактировав.

Получателю предлагалось заполнить анкету, которая была внутри прицепленного к письму архива, за что он мог якобы рассчитывать на два бесплатных пригласительных и размещение логотипа банка на официальном портале форума. Внутри архива находилось вредоносное вложение Silence.Downloader aka TrueBot — инструмент, который используют только хакеры Silence.

Рассылать такие приглашения с «сюрпризами», отмечают в Group-IB, - одно из любимых занятий прогосударственных хакерских группировок (APT), специализирующихся на шпионаже. «Письма счастья» от лица устроителей конференций из НАТО, ООН или ЕС обычно направляются в военные ведомства, посольства, министерства и СМИ и содержат вложенную программу-шпион.

То обстоятельство, что в качестве основы для январского письма было использован текст официального приглашения, наталкивает борцов с киберпреступностью на мысль, что в Silence работают люди, которые параллельно действительно занимают какие-то легальные должности в финансовом секторе. Тем более, что банковскую тематику они эксплуатируют довольно часто. Например, в этом месяце похожие фишинговые рассылки с той же вредоносной программой велись также от имени начальников отделов межбанковских операций несуществующих контор — ЗАО «Банк ICA» и ЗАО «Банкуралпром». 

По наблюдениям охотников за хакерами, такая активность виртуальных преступников в пред- и постновогодние праздники - дело обычное. Дело в том, что в эти дни на банковских счетах, как правило, аккумулируется большое количество денег, сотрудники банков на волне праздничного позитива массово теряют бдительность, а многие, включая службу безопасности, так и вовсе уходят в отпуск...

По словам Рустама Миркасымова, руководителя отдела динамического анализа вредоносного кода и эксперта по киберразведке Group-IB, сейчас группа Silence явно расширяет фронт своих работ: атаки идут не только по России, но и затрагивают Европу и Ближний Восток, превращая Silence в одно из самых опасных русскоязычных хакерских объединений мира.