Журнал ПЛАС » Новости » Безопасность » 283 просмотра

Group-IB: ущерб от атак хакерской группы Silence приблизился к 300 млн руб.

Group-IB: ущерб от атак хакерской группы Silence приблизился к 300 млн руб.

Group-IB опубликовала технический отчет «Silence 2.0: going global» о преступлениях русскоязычных хакеров Silence.

По данным Group-IB,подтвержденная сумма хищений группой Silence с июня 2016 года по июнь 2019 года составила не менее 272 млн рублей. Жертвами Silence уже стали российские банки,однако в новом отчете фиксируется значительное расширение географии их преступлений: аналитики Group-IB обнаружили атаки Silence более чем 30 странах Европы,Азии и СНГ.

Новый отчет Group-IB «Silence 2.0: going global» содержит полное техническое исследование инструментов и тактики группы,а также включает индикаторы компрометации атакованных целей. «Обладая наиболее полной экспертизой о деятельности Silence и опытом проведения реагирований на их атаки,мы считаем необходимым информировать не только клиентов,но и профессиональное коммьюнити об этой угрозе,— заявил Дмитрий Волков,руководитель направления киберразведки и CTO Group-IB,— Эволюция группы,модификация прежних инструментов и появление новых усложняют выявление и предотвращение киберинцидентов,связанных с ней. Учитывая растущий ущерб от деятельности Silence,для повышения эффективности противостояния этой группе во всем мире мы приняли решение выложить прежний отчет «Silence: Moving into the darkside» и новый «Silence 2.0: going global» в открытый доступ. Публикация этих уникальных аналитических материалов позволит компаниям и аналитикам в разных странах корректно атрибутировать атаки Silence и детектировать их на ранней стадии». В Group-IB подчеркивают,что из отчетов исключены данные,которые могут помешать расследованию киберпреступлений группы.

Зловещая тишина: атаки от России до Латинской Америки

Эксперты Group-IB непрерывно следят за активностью Silence c 2016 года. Первое исследование “Silence: Moving into the darkside”,выпущенное Group-IB в сентябре 2018 года,остается наиболее полным источником технической информации об инфраструктуре и инструментах,использовавшихся киберпреступниками с июня 2016 года по апрель 2018 года.

Второй отчет охватывает период с мая 2018 года по 1 августа 2019 года. За это время системой мониторинга,анализа и прогнозирования киберугроз Group-IB Threat Intelligence было зафиксировано не менее 16 новых кампаний Silence,нацеленных на банки разных стран. В целом,по данным Group-IB,в 2019-м году география атак Silence стала самой обширной за все время существования группы. Хакерами были заражены рабочие станции более чем в 30 государствах мира в Азиатском регионе,Европе и СНГ. В июле жертвами Silence стали банки в Чили,Болгарии и Гане,в июне хакеры провели серию атак на российские банки,в мае – две успешных атаки: в Киргизии и бангладешском банке Duch-Bangla,в феврале – омский «ИТ Банк»,в январе – взлом банка в Индии. Подтвержденный ущерб,нанесенный Silence,с момента релиза прошлого отчета вырос в 5 раз и составил не менее 272 млн рублей или 4,2 млн долларов США.

Silence: инструменты,тактика,связь с хакерами TA505

Начав с целей в России,атакующие постепенно перемещали фокус на СНГ,а затем вышли на международный рынок. Среди тактических изменений – «двухходовка» на подготовительном этапе атаки.  Сначала по огромной базе адресов (до 85 000) рассылаются письма-пустышки без вредоносной нагрузки. Это позволяет хакерам обновить свою базу актуальных целей,расширить географию атак и понять,какие решения по кибербезопасности используются в банке. Результатом этой тестовой рассылки является создание «боевой» базы почтовых адресов. Именно по этой базе пойдет рассылка с вредоносным вложением. В отчете рассматриваются три таких кампании,охватившие Россию и СНГ,Азию и Европу. Суммарно хакеры отправили более 170 000 писем для актуализации адресов будущих целей.

В ответ на усиленное внимание со стороны разработчиков решений для кибербезопасности Silence внесли ряд модификаций в свои инструменты и начали использовать новые. Так,был кардинально переписан первичный загрузчик Silence.Downloader (или TrueBot),применяемый на первой стадии атаки и во многом определяющий ее успешность. Изменения коснулись логики исполнения Silence.Downloader и Silence.Main,а также команд,исполняемые ботами.

В ходе реагирований на киберинциденты,связанные с Silence,были выявили новые инструменты. Так,23 июня 2019 года специалисты Group-IB зафиксировали атаки на банки Чили,Коста-Рики,Ганы и Болгарии. Здесь использовался инструмент,догружаемый основным трояном Silence.Main и основанный на публичных проектах для тестирований на проникновение Empire и dnscat2. Инструмент получил название EmpireDNSAgent или просто EDA.

Также в мае 2019 года был обнаружен Ivoke-бэкдор — полностью бесфайловый троян,задача которого собрать сведения о зараженной системе и загрузить следующую стадию по команде от управляющего сервера. Кроме того,к инструментам группы добавлен троян для атаки через банкоматы xfs-disp.exe. Предположительно именно он использовался в «ИТ Банке».

Анализируя арсенал Silence,эксперты Group-IB обнаружили сходство между кастомным трояном Silence.Downloader и загрузчиком FlawedAmmyy.Downloader,который связывают,в том числе,с атаками хакеров ТА505. Обе программы разработаны одним человеком,который привлекался Silence для работы над загрузчиком. Русскоязычная группа ТА505 известна с 2014 года (по данным Proofpoint),ее связывают с масштабными вредоносными кампаниями и атаками на финансовые учреждения США,Объединенных Арабских Эмиратов и Сингапура. В последних кампаниях TA505 использует FlawedAmmyy,полнофункциональной RAT,позволяющий злоумышленникам получить административный контроль над зараженным устройством для мониторинга активности пользователей,профилирования системы и кражи учетных данных.

Атаки и атрибуция

Учитывая инициированные расследования,Group-IB детально разбирают в своем отчете две известных атаки: на бангладешский банк Dutch-Bangla,из которого было выведено не менее 3 млн. долларов,и на «ИТ Банк» в России,из которого удалось похитить около 25 млн. руб.

18 января 2019 Group-IB сообщила о фишинговой рассылке Silence,в которой вредоносное вложение было замаскировано под приглашение на iFin-2019,XIX Международный Форум iFin-2019 “Электронные финансовые услуги и технологии”. Установлено,что почтовые адреса сотрудников «ИТ Банка» были среди получателей этих писем. Эти письма стали точкой входа,благодаря которой Silence развил свою атаку до финального этапа. 25 февраля 2019 на VirusTotal с российского IP-адреса вручную через веб-интерфейс была загружена программа xfs-test.exe,скомпилированная 10 февраля 2019. Данная программа предназначена для отправки команд напрямую диспенсеру банкомата,в результате выполнения которых вся наличность будет выдана. Уже через два дня после компиляции в СМИ появилась информация о хищении из банкоматов «ИТ Банка».

31 мая 2019 года семеро мужчин в медицинских масках сняли наличность в банкоматах Dutch- Bangla Bank в Бангладеше. Экспертам Group-IB удалось установить,что сервер Silence начал функционировать не позднее 28 января 2019 года. Взаимодействие с IP-адресами,принадлежащими сетевой инфраструктуре банка Dutch- Bangla,начало осуществляться не позднее 16 февраля 2019 года. Заранее открытые карты банка дважды использовались мулами (лицами,привлекаемыми хакерскими группами для снятия денег в банкоматах) для нелегитимного снятия наличных. Первый раз — за пределами Бангладеша. Процесс снятия наличных мулами в Дакке был зафиксирован на видео и позже выложен на Youtube,местной полиции удалось оперативно задержать подозреваемых. Ими оказались шестеро граждан Украины. Одному 31-летнему подозреваемому удалось сбежать. В отчете Group-IB рассматриваются два вектора атаки на Dutch- Bangla Bank: через банкоматы и через карточный процессинг. В любом из вариантов развития событий количество снятий,а также объем хищения может быть намного большим.

Ранее Group-IB сообщала,что ущерб от мошенничества через удаленный доступ может стоить банкам до 10 млн руб. ежемесячно.

По материалам Group-IB

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться",вы соглашаетесь с


политикой обработки персональных данных