ЦБ предупредил банки о фишинговой рассылке писем с трояном хакерской группировкой Silence. Она атакует банки с весны 2017 года, однако до последнего времени эти достижения в основном приписывались недавно обезглавленной группировке Cobalt. Тем временем Silence, вокруг которой не было шумихи, может быть не менее опасна, чем Cobalt, предупреждают эксперты.
О том, что на днях ФинЦЕРТ (подразделение ЦБ по кибербезопасности) в рамках информационного обмена уведомил банки о новой угрозе, рассказали “Ъ” участники рынка. В сообщении говорится о фишинговой рассылке вредоносного программного обеспечения (ВПО) с трояном intel security.exe. Эксперты уверены, что данный вредонос принадлежит преступной группировке Silence («Тишина»), которая в 2017 году атаковала банки в России, Армении и Малайзии. «Специфика данного вредоносного вложения более чем сходна с теми, что использует Silence,— отметил руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.— Каждая такая группировка имеет свои особенности, поэтому классифицировать их с технической точки зрения вполне возможно».
В Банке России подтвердили факт сообщения о вредоносе. «Использование ВПО этого типа наблюдается с весны 2017 года, ФинЦЕРТ фиксировал случаи его распространения еще до того, как оно было классифицировано как Silence,— отметили в ЦБ.— 20 октября 2017 года был выпущен бюллетень с описанием ВПО и правилами обнаружения».
Тем не менее до последнего времени о Silence почти не говорили. До конца марта 2018 года главной угрозой для банков в России считалась группировка Cobalt.
Хотя официальных заявлений о «жертвах» Silence не было, эксперты допускают, что именно она совершила часть атак, которые приписывают Cobalt. «В ряде случаев и жертвы совпадали — банк был атакован двумя группировками одновременно, и потому есть определенная вероятность того, что часть "успешных" атак просто была приписана Cobalt»,— указывает Алексей Новиков. Примером могут быть атаки с выводом средств через SWIFT. «Все помнят атаку в декабре 2017 года на банк "Глобэкс",— рассказывает собеседник “Ъ” в правоохранительных органах.— Сразу вслед за "Глобэксом", тоже в декабре 2017 года, был атакован еще один банк, и злоумышленники пытались вывести средства (безуспешно) также через SWIFT». И в этом банке были обнаружены две рассылки с вредоносом — и от Cobalt, и от Silence.
В ЦБ с этим не спорят. «ФинЦЕРТ продолжает углубленный технический анализ по ряду сложных компьютерных атак, имевших негативные последствия, при необходимости дополнительная информация будет доведена до участников информационного обмена»,— отметили в Банке России. У всех ВПО, используемых для атак на банки, примерно одинаковые принципы работы, а у использующих их лиц примерно одинаковые цели, поясняют в ЦБ. Поэтому, добавляют там, для принятия первоочередных мер по пресечению атаки важно не название группировки, а индикаторы компрометации конкретной атаки.
Вероника Горячева
SIA.RU: Главное
