Спецпроекты

Безопасность Стратегия безопасности

Group-IB: ущерб от атак хакерской группы Silence приблизился к отметке в 300 миллионов рублей

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сегодня опубликовала технический отчет “Silence 2.0: going global” о преступлениях русскоязычных хакеров Silence. По данным Group-IB, подтвержденная сумма хищений группой Silence с июня 2016 г. по июнь 2019 г. составила не менее 272 млн руб. Жертвами Silence уже стали российские банки, однако в новом отчете фиксируется значительное расширение географии их преступлений: аналитики Group-IB обнаружили атаки Silence более чем 30 странах Европы, Азии и СНГ.

Новый отчет Group-IB “Silence 2.0: going global” содержит полное техническое исследование инструментов и тактики группы, а также включает индикаторы компрометации атакованных целей.

«Обладая наиболее полной экспертизой о деятельности Silence и опытом проведения реагирований на их атаки, мы считаем необходимым информировать не только клиентов, но и профессиональное коммьюнити об этой угрозе, — сказал Дмитрий Волков, руководитель направления киберразведки и CTO Group-IB, — Эволюция группы, модификация прежних инструментов и появление новых усложняют выявление и предотвращение киберинцидентов, связанных с ней. Учитывая растущий ущерб от деятельности Silence, для повышения эффективности противостояния этой группе во всем мире мы приняли решение выложить прежний отчет “Silence: Moving into the darkside” и новый “Silence 2.0: going global” в открытый доступ. Публикация этих уникальных аналитических материалов позволит компаниям и аналитикам в разных странах корректно атрибутировать атаки Silence и детектировать их на ранней стадии».

В Group-IB подчеркивают, что из отчетов исключены данные, которые могут помешать расследованию киберпреступлений группы.

Эксперты Group-IB непрерывно следят за активностью Silence c 2016 г. Первое исследование “Silence: Moving into the darkside”, выпущенное Group-IB в сентябре 2018 г., остается наиболее полным источником технической информации об инфраструктуре и инструментах, использовавшихся киберпреступниками с июня 2016 г. по апрель 2018 г.

Второй отчет охватывает период с мая 2018 г. по 1 августа 2019 г. За это время системой мониторинга, анализа и прогнозирования киберугроз Group-IB Threat Intelligence было зафиксировано не менее 16 новых кампаний Silence, нацеленных на банки разных стран. В целом, по данным Group-IB, в 2019 г. география атак Silence стала самой обширной за все время существования группы. Хакерами были заражены рабочие станции более чем в 30 государствах мира в Азиатском регионе, Европе и СНГ. В июле жертвами Silence стали банки в Чили, Болгарии и Гане, в июне хакеры провели серию атак на российские банки, в мае – две успешных атаки: в Киргизии и бангладешском банке Duch-Bangla, в феврале – омский «ИТ банк», в январе – взлом банка в Индии. Подтвержденный ущерб, нанесенный Silence, с момента релиза прошлого отчета вырос в пять раз и составил не менее 272 млн руб. или $4,2 млн.

Начав с целей в России, атакующие постепенно перемещали фокус на СНГ, а затем вышли на международный рынок. Среди тактических изменений – «двухходовка» на подготовительном этапе атаки. Сначала по огромной базе адресов (до 85 тыс.) рассылаются письма-пустышки без вредоносной нагрузки. Это позволяет хакерам обновить свою базу актуальных целей, расширить географию атак и понять, какие решения по кибербезопасности используются в банке. Результатом этой тестовой рассылки является создание «боевой» базы почтовых адресов. Именно по этой базе пойдет рассылка с вредоносным вложением. В отчете рассматриваются три таких кампании, охватившие Россию и СНГ, Азию и Европу. Суммарно хакеры отправили более 170 тыс. писем для актуализации адресов будущих целей.

В ответ на усиленное внимание со стороны разработчиков решений для кибербезопасности Silence внесли ряд модификаций в свои инструменты и начали использовать новые. Так, был кардинально переписан первичный загрузчик Silence.downloader (или Truebot), применяемый на первой стадии атаки и во многом определяющий ее успешность. Изменения коснулись логики исполнения Silence.downloader и Silence.main, а также команд, исполняемые ботами.

В ходе реагирований на киберинциденты, связанные с Silence, были выявили новые инструменты. Так, 23 июня 2019 г. специалисты Group-IB зафиксировали атаки на банки Чили, Коста-Рики, Ганы и Болгарии. Здесь использовался инструмент, догружаемый основным трояном Silence.Main и основанный на публичных проектах для тестирований на проникновение Empire и dnscat2. Инструмент получил название EmpireDNSAgent или просто EDA.

Также в мае 2019 г. был обнаружен Ivoke-бэкдор — полностью бесфайловый троян, задача которого собрать сведения о зараженной системе и загрузить следующую стадию по команде от управляющего сервера. Кроме того, к инструментам группы добавлен троян для атаки через банкоматы xfs-disp.exe. Предположительно именно он использовался в «ИТ банке».

Анализируя арсенал Silence, эксперты Group-IB обнаружили сходство между кастомным трояном Silence.downloader и загрузчиком Flawedammyy.downloader, который связывают, в том числе, с атаками хакеров ТА505. Обе программы разработаны одним человеком, который привлекался Silence для работы над загрузчиком. Русскоязычная группа ТА505 известна с 2014 г. (по данным Proofpoint), ее связывают с масштабными вредоносными кампаниями и атаками на финансовые учреждения США, Объединенных Арабских Эмиратов и Сингапура. В последних кампаниях TA505 использует Flawedammyy, полнофункциональной RAT, позволяющий злоумышленникам получить административный контроль над зараженным устройством для мониторинга активности пользователей, профилирования системы и кражи учетных данных.

Учитывая инициированные расследования, Group-IB детально разбирают в своем отчете две известных атаки: на бангладешский банк Dutch-Bangla, из которого было выведено не менее $3 млн, и на «ИТ банк» в России, из которого удалось похитить около 25 млн руб.

18 января 2019 г. Group-IB сообщила о фишинговой рассылке Silence, в которой вредоносное вложение было замаскировано под приглашение на iFin-2019, XIX международный форум iFin-2019 «Электронные финансовые услуги и технологии». Установлено, что почтовые адреса сотрудников «ИТ банка» были среди получателей этих писем. Эти письма стали точкой входа, благодаря которой Silence развил свою атаку до финального этапа. 25 февраля 2019 г. на Virustotal с российского IP-адреса вручную через веб-интерфейс была загружена программа xfs-test.exe, скомпилированная 10 февраля 2019 г. Данная программа предназначена для отправки команд напрямую диспенсеру банкомата, в результате выполнения которых вся наличность будет выдана. Уже через два дня после компиляции в СМИ появилась информация о хищении из банкоматов «ИТ банка».

31 мая 2019 г. семеро мужчин в медицинских масках сняли наличность в банкоматах Dutch-Bangla Bank в Бангладеше. Экспертам Group-IB удалось установить, что сервер Silence начал функционировать не позднее 28 января 2019 г. Взаимодействие с IP-адресами, принадлежащими сетевой инфраструктуре банка Dutch-Bangla, начало осуществляться не позднее 16 февраля 2019 г. Заранее открытые карты банка дважды использовались мулами (лицами, привлекаемыми хакерскими группами для снятия денег в банкоматах) для нелегитимного снятия наличных. Первый раз — за пределами Бангладеша. Процесс снятия наличных мулами в Дакке был зафиксирован на видео и позже выложен на Youtube, местной полиции удалось оперативно задержать подозреваемых. Ими оказались шестеро граждан Украины. Одному 31-летнему подозреваемому удалось сбежать. В отчете Group-IB рассматриваются два вектора атаки на Dutch- Bangla Bank: через банкоматы и через карточный процессинг. В любом из вариантов развития событий количество снятий, а также объем хищения может быть намного большим.

Короткая ссылка