Group-IB: новая угроза для банков — группа Silence
Group-IB, специализирующаяся на предотвращении кибератак, раскрыла преступления хакерской группы Silence. Их жертвами уже стали российские банки, однако следы атак группы аналитики Group-IB обнаружили в более чем 25 странах по всему миру.
Group-IB выпустила первый подробный отчет Silence: Moving into the darkside о деятельности группы Silence, где проанализированы инструменты, техники и схемы атак группы. Аналитики компании выдвигают гипотезу о том, что по крайней мере один из двух участников Silence – это бывший или действующий сотрудник компании сферы информационной безопасности.
После того, как активность хакеров Cobalt снизилась, одной из главных угроз для российских и международных банков стала группа Silence. До недавнего времени известная лишь специалистам по кибербезопасности, Silence является примером мобильной, малочисленной и молодой группы, которая очень быстро прогрессирует. Сумма хищений Silence меньше, чем за год выросла в 5 раз: с 7 млн руб. до 35 млн руб. Только по подтвержденным эпизодам общая сумма хищений в следствии атак Silence сегодня составляет 52 млн руб.
Больше двух лет о Silence не было ни одного упоминания, позволявшего идентифицировать ее как самостоятельную группу. Хронология и характер атак, восстановленные после проведения криминалистических экспертиз Group-IB, подтверждают то, что в начале своего пути преступники не имели навыков взлома банковских систем и во время проведения своих первых операций учились буквально на ходу.
С осени 2017 группа начала заметно прибавлять в активности. Очевидно, Silence постоянно анализируют опыт других преступных групп, пробуют применять новые техники и способы краж из различных банковских систем. Среди них – АРМ КБР, банкоматы, карточный процессинг.
Впервые активность группы была зафиксирована специалистами Group-IB в 2016 году. Тогда злоумышленники попытались вывести деньги через российскую систему межбанковских переводов АРМ КБР, однако вследствие неправильной подготовки платежного поручения, хищение удалось предотвратить. В 2017 году Silence начала проводить атаки на банкоматы. В ходе первого подтвержденного экспертами Group-IB инцидента, за одну ночь хакеры вывели из банкоматов 7 млн рублей.
В 2018 году они провели атаку через карточный процессинг используя посредника: дополнительным звеном в этой атаке была компания-партнер, через банкоматы которой за выходные Silence «заработали» 35 млн рублей. В этом же году, в апреле, то есть спустя всего два месяца группа возвращается к прежней схеме и выводит деньги через банкоматы. Им удается за одну ночь вывести порядка 10 млн. рублей.
Сейчас эти инциденты позволяют сделать однозначную атрибуцию с группой Silence, однако в Group-IB убеждены, что успешных атак на банки у этих хакеров в несколько раз больше.
Silence – русскоговорящие хакеры, об этом свидетельствует язык команд, расположение используемой атакующими инфраструктуры и самих целей преступников. Кроме того, написание команд бэкдора Silence, давшего название группе, это русские слова, набранные на английской раскладке. Хакеры пользуются услугами русскоязычных хостеров. Основные цели преступников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, хотя фишинговые письма отправлялись также сотрудникам банков Центральной и Западной Европы, Африки и Азии.
Костяк команды Silence состоит всего из двух человек – разработчика и оператора. Ограниченность ресурсов объясняет тот факт, что атаки они совершают избирательно, а на совершение хищений у них уходит до 3-х месяцев, что, как минимум, в три раза дольше, чем у Anunak, Buhtrap, MoneyTaker и Cobalt.
Разработчик имеет навыки высококвалифицированного реверc-инженера, он разрабатывает инструменты для проведения атак, модифицирует сложные эксплойты и программы. Однако при разработке допускает немало ошибок: это характерно для вирусного аналитика или реверс-инженера, он знает, как именно пишутся программы, но не знает, как правильно программировать. Второй член команды – оператор, он хорошо знаком с проведением тестов на проникновение, что позволяет ему ориентироваться внутри банковской инфраструктуры. Именно он использует разработанные инструменты для получения доступа к защищенным системам внутри банка и запускает процесс хищений.
Как и большинство групп, специализирующихся на целевых атаках, Silence использует фишинг. Вначале для рассылок группа использовала взломанные серверы и скомпрометированные учетные записи. Позже преступники начали регистрировать фишинговые домены, для которых создавались самоподписанные сертификаты.
Фишинговые письма Silence составлены грамотно, чаще всего, они пишутся от лица сотрудников банков. Для осуществления фишинговых рассылок хакеры арендуют серверы в России и Нидерландах. Silence также используют услуги хостера с Украины для аренды серверов под командные центры. Несколько серверов было арендовано в MaxiDed, инфраструктура которого была заблокирована Европолом в мае 2018 года.
В первых операциях киберпреступники использовали заимствованный бэкдор Kikothac, что позволяет сделать вывод о том, что группа начала работу без предварительной подготовки, это были попытки проверить свои силы. Позже разработчик группы создал уникальный набор инструментов для атак на карточный процессинг и банкоматы, который включает в себя: Silence – фреймворк для атак на инфраструктуру, Atmosphere – набор программ для атак на банкоматы, Farse – утилита для получения паролей с зараженного компьютера и Cleaner – инструмент для удаления логов удаленного подключения.
«Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы, очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой – пентестами и реверс-инжинирингом, – отметил Дмитрий Волков, технической директор и глава направления киберразведки Group-IB. – Они тщательно изучают деятельность других киберпреступников, анализируют отчеты антивирусных и Threat Intelligence компаний, что не мешает им делать множество ошибок и учиться прямо по ходу атаки. Ряд инструментов Silence – легитимны, другие разработали они сами, взяв на вооружение опыт других групп. Изучая деятельность Silence, мы предположили, что вероятнее всего это пример того, как whitehat становятся blackhat. Интернет, в особенности, его андеграудная часть, открывают немало возможностей для таких метаморфоз, киберпреступником сегодня стать намного легче, чем 5-7 лет назад: можно арендовать серверы, модифицировать имеющиеся эксплойты, использовать легальные утилиты. Это значительно усложняет работу форензик-экспертов, но сильно упрощает возможность встать на путь хакера».