Хакеры атаковали российские банки с фейкового адреса Банка России

Хакерская группа Silence 15 ноября осуществила вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Об этом стало известно со слов сотрудников нескольких крупнейших банков. Позже эту информацию подтвердили в «Лаборатории Касперского».

«Сегодня действительно была зафиксирована фишинговая рассылка, маскирующаяся под уведомления от имени Банка России. Упоминание государственной организации в подобных случаях — очень распространенная практика. Важно понимать, что настоящие ресурсы регулятора не были затронуты и остаются под защитой, фальшивые письма обычно только повторяют дизайн и стиль текста», — прокомментировал ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Он также подчеркнул, что данная рассылка стала частью целевой атаки The Silence. Впервые эта атака, направленная на финансовые учреждения, была обнаружена экспертами «Лаборатории Касперского» в октябре прошлого года. Атакующие используют известный и по-прежнему очень эффективный метод — получают доступ к внутренней банковской сети и закрепляются в ней. В течение долгого времени киберпреступники изучают внутреннюю инфраструктуру сети и производят запись с экранов машин сотрудников банка. После анализа того, как используется внутрибанковское ПО, киберпреступники осуществляют перевод денежных средств.

Помимо «Лаборатории Касперского», массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России зафиксировали в компании Group-IB.

«Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. SSL-сертификаты для прохождения проверки DKIM не использовались. Письма с темой «Информация Центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader — инструмент, который используют хакеры Silence», — прокомментировали в компании.

Эксперты Group-IB отметили, что стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой — пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.