Хакерская группировка Cobalt, известная масштабными атаками на финансовые учреждения, в результате которых банкоматы начинали выдавать деньги, и предположительно имеющая российские корни, в 2017 году значительно расширила сферу деятельности.
Согласно отчету специализирующейся в области информационной безопасности компании Positive Technologies (есть у РБК), в первой половине 2017 года Cobalt разослала фишинговые письма, содержащие в себе зараженные файлы, более чем 3 тыс. получателей из 250 компаний в 12 странах мира. К списку традиционных для Cobalt целей, находящихся в СНГ, странах Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине. В сфере интересов группировки теперь не только банки, но и биржи, страховые компании, инвестфонды и другие организации,
Как утверждают эксперты, методы хакеров эволюционируют. Теперь, прежде чем атаковать банки, Cobalt предварительно взламывает инфраструктуру их партнеров — четверть всех атак приходится на госорганизации, промышленные компании, телекоммуникационные операторы и предприятия из сферы медицины.
«Атаки на нефинансовые организации осуществляются с целью подготовки плацдарма для последующих атак на банки. К примеру, злоумышленники могут рассылать фишинговые письма от лица регулятора или партнера банка, для которого он предоставляет услуги», — пояснил РБК заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков. Он отмечает, что кредитно-финансовые организации гораздо лучше защищены от киберугроз, чем государственные органы и компании промышленного сектора. «Они постоянно совершенствуют свои защитные механизмы по причине частых атак на их инфраструктуру, поэтому злоумышленникам проще взломать инфраструктуру контрагента банка или государственной организации для осуществления непосредственной атаки на банк», — говорит Новиков.
Атаки на кредитно-финансовую сферу, на которые приходится 75% всех усилий хакеров из этой команды, стали более изощренными. Группировка массово отправляет фишинговые письма с поддельных доменов, имитирующие сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан, рассказали в Positive Technologies. Для этих целей Cobalt использовала как минимум 22 поддельных домена, имитирующих сайты крупных финансовых организаций и их контрагентов.
Кто есть кто
Наиболее опасными для банковского сообщества эксперты считают несколько группировок — Lurk, Buhtrap, Carbanak, Lazarus.
Хакеры из команды Lurk, создавшие одноименный банковский троян, смогли похитить со счетов российских банков более 1,7 млрд руб., прежде чем в июне 2016 года были задержаны МВД и ФСБ. Правоохранительные органы арестовали около 50 человек, связанных с этой группой, и заблокировали фиктивные платежные поручения еще на 2,3 млрд руб.
Группа Buhtrap была замечена экспертами в сфере информационной безопасности в 2014 году. По данным специализирующейся на предотвращении киберугроз Group-IB, с августа 2015 года по февраль 2016-го ее хакеры похитили со счетов российских банков 1,8 млрд руб., совершив 13 успешных атак. Среди пострадавших оказались Металлинвестбанк и Русский международный банк. Преступники рассылали жертвам содержавшие зараженные файлы фальшивые сообщения от имени Центробанка. Именно с деятельностью этой группировки эксперты Group-IB и Positive Technologies связывают хакеров из Cobalt. «Вероятно, часть группировки Buhtrap или даже основной ее костяк перешли в Cobalt. На данный момент Cobalt, безусловно, лидирует по степени опасности для отечественной финансовой среды как наиболее профессиональная и технически подкованная», — утверждают специалисты Positive Technologies.
В «Лаборатории Касперского» придерживаются мнения, что члены Cobalt — это выходцы из другой опасной группировки, Carbanak, первые атаки которой зафиксированы в 2013 году. «В 2014–2015 годах при хищении денежных средств из банков использовалась вредоносная программа Carbanak, для работы которой была необходима определенная инфраструктура — сетевые адреса. Потом те же самые адреса применялись для управления вредоносной программой, которая вошла в состав вредоносного программного обеспечения», — рассказал ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. По его данным, в группировке Carbanak состоит около ста человек, а ущерб от ее действий уже превысил $1 млрд. В среднем одна атака обходится российским банкам в десятки миллионов рублей, говорит Голованов.
Еще одна группа, целенаправленно атакующая банки, — Lazarus, наиболее известная кражей $81 млн из Банка Бангладеш в 2016 году. Согласно отчету Group-IB, эти хакеры могут быть близки к госструктурам КНДР, так как совершали часть атак из пхеньянского района Потхонган, где расположена штаб-квартира национального комитета по обороне КНДР.
Немало беспокойства вызвали и хакеры из сообщества под названием Metel, сейчас, возможно, прекратившие свою деятельность. Они были активны с 2011 года и за несколько лет смогли скомпрометировать счета на сумму более $250 млн. В ходе атаки на Энергобанк в 2016 году действия Metel привели к изменению курса рубля более чем на 15% и нанесли банку ущерб в размере 244 млн руб.
Как они атакуют
Типовая атака Cobalt состоит из нескольких этапов, рассказывает представитель Positive Technologies. Сначала регистрируются поддельные домены, якобы принадлежащие крупным компаниям, например Visa. Затем в адрес банков и их контрагентов проводится фишинговая рассылка, содержащая вредоносный файл, обычно документ Microsoft Word. После открытия этого вложения пользователем запускается программа, которая не дает системам антивирусной защиты среагировать на вирус. После чего загружается собственно троян, который позволяет организовать удаленный доступ к рабочему компьютеру сотрудника компании-жертвы. Далее злоумышленники могут либо развивать атаку внутри организации, либо отправить со взломанного рабочего стола письмо с аналогичным вредоносным софтом в другую организацию.
«Наша статистика показывает, что в среднем 20–30% сотрудников открывают потенциально опасные вложения, ставящие под угрозу всю безопасность компании. Но в данном случае процент открывших был в 2–2,5 раза выше, так как письма отправлялись от лица контрагента, а в ряде случаев даже от имени конкретных сотрудников», — говорят в Positive Technologies.
Руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов говорит, что главной целью Cobalt по-прежнему остается похищение денег у финансовых организаций, однако атаки хакеров действительно стали затрагивать не только банки.
«Нашей системой Threat Intelligence были выявлены атаки на юридические компании, страховые компании, информационные и новостные агентства, лизинговые компании. Это делается для того, чтобы протестировать атаку на эффективность для дальнейших атак на банковскую инфраструктуру. Уже известны случаи, когда инфраструктура крупного интегратора использовалась этой группой для проведения атак на банки в Румынии, Казахстане, Азербайджане, Молдавии, России и др.», — говорит Миркасымов. По его словам, средняя сумма хищений по одному инциденту составляет около 100 млн руб.
Ущерб российских банков от действий хакеров за 2016 год составил чуть более 2 млрд руб., сообщал ранее заместитель начальника главного управления безопасности и защиты информации Центробанка Артем Сычев. Средний ущерб от кибератаки в этот период в мире в среднем составлял $926 тыс. на одну финансовую организацию, говорится в отчете «Лаборатории Касперского». В то же время средний годовой объем расходов одного банка на обеспечение кибербезопасности, по данным компании, сейчас достигает в мире $58 млн, что в три раза больше, чем у нефинансовых организаций.
К ссылкам «присоединиться ко встрече» в WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) теперь стоит относиться с особой осторожностью. Исследователи обнаружили новую фишинговую кампанию, которая маскируется под вход в WhatsApp Web и позволяет злоумышленникам перехватывать аккаунты буквально за считаные секунды.
Судя по всему, за атакой может стоять иранская разведка. Тревогу на этой неделе поднял британский исследователь Нариман Гариб.
Он обнаружил полноценный «набор слежки», который имитирует процесс аутентификации в WhatsApp Web и выглядит максимально правдоподобно. Жертва до последнего уверена, что просто подключается к онлайн-встрече.
Сценарий атаки довольно простой, но изящный. Пользователю приходит сообщение в WhatsApp со ссылкой — например, на созвон или встречу. Переход по ней ведёт на поддельную страницу WhatsApp Web, размещённую на домене DuckDNS и запущенную на сервере с Ubuntu и nginx. На экране появляется знакомое окно входа с QR-кодом, почти неотличимое от настоящего.
Однако за кулисами страница каждую секунду обращается к серверу злоумышленника и в реальном времени подгружает QR-код из его браузерной сессии WhatsApp Web. Когда пользователь сканирует этот код, он на самом деле не входит в свой аккаунт, а привязывает его к браузеру атакующего. Как отмечает Гариб, в этот момент жертва фактически «аутентифицирует сессию злоумышленника», после чего тот получает полный доступ к перепискам и контактам.
И это только начало. Анализ показал, что фишинговый набор также запрашивает разрешения браузера, открывающие путь к глубокой слежке за устройством. Если пользователь их выдаёт, злоумышленник может удалённо включать камеру и микрофон, делать фотографии, записывать аудио и отслеживать геолокацию в реальном времени. Все эти функции управляются удалённо и могут включаться и отключаться по желанию атакующего.
По словам исследователя, кампания нацелена на пользователей за пределами Ирана, связанных с политикой, СМИ, правозащитной деятельностью и академическими исследованиями, затрагивающими страну.
Разработчики WhatsApp подчёркивают, что платформа использует встроенные механизмы защиты и не позволяет открывать ссылки от незнакомых отправителей. Компания также призывает пользователей сообщать о подобных сообщениях, чтобы команда безопасности могла оперативно реагировать на угрозы.
QR-коды давно используются в мошеннических схемах, но в этом случае ставка сделана выше обычного. Атака объединяет перехват аккаунта, живую подмену QR-кода и возможность полноценной слежки за устройством.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
