Silence, новая угроза для банков
Компания Group-IB, специализирующаяся на предотвращении кибератак, выпустила отчет о деятельности хакерской группы Silence, жертвами которой уже стали российские банки и следы атак которой обнаружены еще в более чем 25 странах по всему миру. В отчете проанализированы инструменты, техники и схемы атак группы; как предполагают аналитики компании, по крайней мере один из двух участников Silence – это бывший или действующий сотрудник компании сферы информационной безопасности.
Группа Silence, до недавнего времени известная лишь специалистам по кибербезопасности, – пример мобильной, малочисленной и молодой группы, которая очень быстро прогрессирует. Сумма хищений меньше чем за год выросла в 5 раз: с 7 до 35 млн руб. Только по подтвержденным эпизодам общая сумма хищений в следствии атак Silence сегодня составляет 52 млн руб.
Больше двух лет о Silence не было ни одного упоминания, позволявшего идентифицировать ее как самостоятельную группу. Хронология и характер атак, восстановленные по результатам экспертиз Group-IB, подтверждают, что вначале преступники не имели навыков взлома банковских систем и во время своих первых операций учились буквально на ходу. С осени 2017 группа начала заметно прибавлять в активности. Очевидно, Silence постоянно анализируют опыт других преступных групп, пробуют применять новые техники и способы краж из различных банковских систем, среди которых – АРМ КБР, банкоматы, карточный процессинг.
Впервые активность группы специалисты Group-IB зафиксировали в 2016 г., когда злоумышленники пытались вывести деньги через российскую систему межбанковских переводов АРМ КБР, однако из-за неправильной подготовки платежного поручения хищение удалось предотвратить. В 2017 г. Silence начала проводить атаки на банкоматы, а в 2018 г. провела атаку через карточный процессинг, используя посредника. В этом же году группа возвращается к прежней схеме и выводит деньги через банкоматы. На данный момент, считают в Group-IB, эти инциденты позволяют провести однозначную атрибуцию с группой Silence, однако успешных атак на банки у нее вероятно, в несколько раз больше.
По мнению экспертов, Silence – русскоговорящие хакеры, о чем свидетельствует язык команд, расположение используемой атакующими инфраструктуры и самих целей преступников. Кроме того, написание команд бэкдора Silence, давшего название группе, это русские слова, набранные в английской раскладке. Хакеры пользуются услугами русскоязычных хостеров. Основные цели преступников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, хотя фишинговые письма отправлялись также сотрудникам банков Центральной и Западной Европы, Африки и Азии.
Костяк команды Silence состоит из двух человек – разработчика и оператора. Ограниченность ресурсов объясняет тот факт, что атаки они совершают избирательно, а на совершение хищений уходит до трех месяцев (это как минимум в три раза дольше, чем у Anunak, Buhtrap, MoneyTaker и Cobalt). Разработчик имеет навыки высококвалифицированного реверc-инженера, он создает инструменты для проведения атак, модифицирует сложные эксплойты и программы. Однако при разработке допускает немало ошибок, отмечают в Group-IB: это характерно для вирусного аналитика или реверс-инженера, который знает, как именно пишутся программы, но не знает, как правильно программировать. Второй член команды – оператор, хорошо знакомый с проведением тестов на проникновение, что позволяет ему ориентироваться внутри банковской инфраструктуры. Именно он использует разработанные инструменты для получения доступа к защищенным системам внутри банка и запускает процесс хищений.
Как большинство групп, специализирующихся на целевых атаках, Silence использует фишинг. Вначале для рассылок группа использовала взломанные серверы и скомпрометированные учетные записи. Позже преступники начали регистрировать фишинговые домены, для которых создавались самоподписанные сертификаты. Фишинговые письма Silence составлены грамотно, чаще всего пишутся от лица сотрудников банков. Для фишинговых рассылок хакеры арендуют серверы в России и Нидерландах. Silence также используют услуги хостера с Украины для аренды серверов под командные центры. Несколько серверов было арендовано в MaxiDed, инфраструктура которого была заблокирована Европолом в мае 2018 г.
В первых операциях киберпреступники использовали заимствованный бэкдор Kikothac, что позволяет сделать вывод о том, что группа начала работу без предварительной подготовки. Позже разработчик создал уникальный набор инструментов для атак на карточный процессинг и банкоматы, в который входят Silence – фреймворк для атак на инфраструктуру, Atmosphere – набор программ для атак на банкоматы, Farse – утилита для получения паролей с зараженного компьютера и Cleaner – инструмент для удаления логов удаленного подключения.
Как комментируют в Group-IB, по характеру атак, инструментам, тактике и даже составу группы Silence очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой – пентестами и реверс-инжинирингом. Они тщательно изучают деятельность других киберпреступников, анализируют отчеты антивирусных и Threat Intelligence компаний, что не мешает им делать множество ошибок и учиться прямо по ходу атаки. Ряд инструментов Silence легитимны, другие они разработали сами, используя опыт других групп. Деятельность Silence, подчеркивают эксперты, это иллюстрация того, что киберпреступником сегодня стать намного легче, чем 5–7 лет назад.