Подтвержденная сумма хищений группой Silence с июня 2016 года по июнь 2019 года составила не менее 272 млн рублей, сообщает Group-IB, международная компания, специализирующаяся на предотвращении кибератак. Жертвами Silence уже стали российские банки, однако в новом отчете эксперты фиксируют значительное расширение географии их преступлений: атаки Silence затронули более чем 30 стран Европы, Азии и СНГ.
«Обладая наиболее полной экспертизой о деятельности Silence и опытом проведения реагирований на их атаки, мы считаем необходимым информировать не только клиентов, но и профессиональное коммьюнити об этой угрозе, — заявил Дмитрий Волков, руководитель направления киберразведки и CTO Group-IB, — Эволюция группы, модификация прежних инструментов и появление новых усложняют выявление и предотвращение киберинцидентов, связанных с ней».
В период с мая 2018 года по 1 августа 2019 года эксперты Group-IB зафиксировали не менее 16 новых кампаний Silence, нацеленных на банки разных стран. В целом, в 2019-м году география атак Silence стала самой обширной за все время существования группы.
Хакерами были заражены рабочие станции более чем в 30 государствах мира в Азиатском регионе, Европе и СНГ. В июле жертвами Silence стали банки в Чили, Болгарии и Гане, в июне хакеры провели серию атак на российские банки, в мае – две успешных атаки: в Киргизии и бангладешском банке Duch-Bangla, в феврале – омский «ИТ Банк», в январе – взлом банка в Индии. Подтвержденный ущерб, нанесенный Silence, с момента релиза прошлого отчета вырос в 5 раз и составил не менее 272 млн рублей или $4,2 млн.
Silence: инструменты, тактика, связь с хакерами TA505
Начав с целей в России, атакующие постепенно перемещали фокус на СНГ, а затем вышли на международный рынок. Среди тактических изменений – «двухходовка» на подготовительном этапе атаки. Сначала по огромной базе адресов (до 85 000) рассылаются письма-пустышки без вредоносной нагрузки.
Это позволяет хакерам обновить свою базу актуальных целей, расширить географию атак и понять, какие решения по кибербезопасности используются в банке. Результатом этой тестовой рассылки является создание «боевой» базы почтовых адресов. Именно по этой базе пойдет рассылка с вредоносным вложением. Суммарно хакеры отправили более 170 000 писем для актуализации адресов будущих целей.
В ответ на усиленное внимание со стороны разработчиков решений для кибербезопасности Silence внесли ряд модификаций в свои инструменты и начали использовать новые.Так, 23 июня 2019 года специалисты Group-IB зафиксировали атаки на банки Чили, Коста-Рики, Ганы и Болгарии. Здесь использовался инструмент, догружаемый основным трояном Silence.Main и основанный на публичных проектах для тестирований на проникновение Empire и dnscat2. Инструмент получил название EmpireDNSAgent или просто EDA.
Также в мае 2019 года был обнаружен Ivoke-бэкдор — полностью бесфайловый троян, задача которого собрать сведения о зараженной системе и загрузить следующую стадию по команде от управляющего сервера. Кроме того, к инструментам группы добавлен троян для атаки через банкоматы xfs-disp.exe. Предположительно именно он использовался в «ИТ Банке».
Анализируя арсенал Silence, эксперты Group-IB обнаружили сходство между кастомным трояном Silence.Downloader и загрузчиком FlawedAmmyy.Downloader, который связывают, в том числе, с атаками хакеров ТА505. Обе программы разработаны одним человеком, который привлекался Silence для работы над загрузчиком.
Русскоязычная группа ТА505 известна с 2014 года (по данным Proofpoint), ее связывают с масштабными вредоносными кампаниями и атаками на финансовые учреждения США, Объединенных Арабских Эмиратов и Сингапура. В последних кампаниях TA505 использует FlawedAmmyy, полнофункциональной RAT, позволяющий злоумышленникам получить административный контроль над зараженным устройством для мониторинга активности пользователей, профилирования системы и кражи учетных данных.
Атаки и атрибуция
Учитывая инициированные расследования, Group-IB детально разбирают в своем отчете две известных атаки: на бангладешский банк Dutch-Bangla , из которого было выведено не менее $3 млн, и на «ИТ Банк» в России, из которого удалось похитить около 25 млн. руб.
18 января 2019 Group-IB сообщила о фишинговой рассылке Silence, в которой вредоносное вложение было замаскировано под приглашение на iFin-2019, XIX Международный Форум iFin-2019 “Электронные финансовые услуги и технологии”. Установлено, что почтовые адреса сотрудников «ИТ Банка» были среди получателей этих писем.
Эти письма стали точкой входа, благодаря которой Silence развил свою атаку до финального этапа. 25 февраля 2019 на VirusTotal с российского IP-адреса вручную через веб-интерфейс была загружена программа xfs-test.exe, скомпилированная 10 февраля 2019. Данная программа предназначена для отправки команд напрямую диспенсеру банкомата, в результате выполнения которых вся наличность будет выдана. Уже через два дня после компиляции в СМИ появилась информация о хищении из банкоматов «ИТ Банка».
31 мая 2019 года семеро мужчин в медицинских масках сняли наличность в банкоматах Dutch- Bangla Bank в Бангладеше. Экспертам Group-IB удалось установить, что сервер Silence начал функционировать не позднее 28 января 2019 года. Взаимодействие с IP-адресами, принадлежащими сетевой инфраструктуре банка Dutch- Bangla, начало осуществляться не позднее 16 февраля 2019 года.
Заранее открытые карты банка дважды использовались мулами (лицами, привлекаемыми хакерскими группами для снятия денег в банкоматах) для нелегитимного снятия наличных. Первый раз — за пределами Бангладеша. Процесс снятия наличных мулами в Дакке был зафиксирован на видео и позже выложен на Youtube, местной полиции удалось оперативно задержать подозреваемых.
Ими оказались шестеро граждан Украины. Одному 31-летнему подозреваемому удалось сбежать. В отчете Group-IB рассматриваются два вектора атаки на Dutch- Bangla Bank: через банкоматы и через карточный процессинг. В любом из вариантов развития событий количество снятий, а также объем хищения может быть намного большим.
