Otkrivene su dve velike email kampanje koje ciljaju ruske finansijske institucije. Iza otkrića stoji Group-IB, internacionalna kompanija specijalizovana za sprečavanje sajber napada. Napadači su slali email poruke pretvarajući se da one dolaze od centralne banke Rusije (CBR) i od FinCERT. Za napad koji se dogodio 15. novembra odgovorna je hakerska grupa Silence, a za napad od 23. oktobra grupa MoneyTaker. Ove sajber kriminalne grupe spadaju u najopasnije grupe koje se bave napadom na finansijske institucije, ne samo u Rusiji, nego i u svetu.

Silence grupa – napad u novembru

Maliciozna masovna email kampanja je otkrivena 15. novembra. Meta su bile ruske banke, a poruke su stizale sa lažne email adrese centralne banke Rusije. SSL sertifikati nisu korišćeni za DKIM verifikaciju.

Naslov poruke glasio je: «Informacije od centralne banke ruske federacije», a od primaoca je traženo da pregleda određene zakonske propise vezane za centralnu banku i da momentalno implementira promene. Navodni dokument sa zakonskim odredbama se nalazio u zip fajlu u atačmentu, a kada ga korisnik raspakuje dobija Silence.Downloader, hakerski alat koji Silence grupa koristi.

Stil i format email poruka su gotovo identični zvaničnoj korespondenciji koju koristi centralna banka. Hakeri su najverovatnije imali pristup uzorcima legitimnih email poruka. Prema Group-IB otkrićima iz septembra, članovi Silence grupe su najverovatnije zaposleni (ili su nekada radili) na pentesting poslovima i poslovima obrnutog inženjeringa. Zbog toga poznaju dokumentaciju koja se koristi u finansijskom sektoru i strukturu bankarskih sistema.

MoneyTaker – napad u oktobru

Napadači su 23. oktobra poslali poruke sa lažne FinCERT email adrese. Poruke su imale 5 atačmenta napravljenih da liče na zvanična dokumenta CBR-a. Tri od pet dokumenata su bila prazni mamac, a dva su sadržala fajl za preuzimanje Meterpreter Stager. Za izvođenje napada hakeri su koristili tzv. samopotpisani sertifikat, a infrastruktura korišćena za napad je viđena u prethodnim napadima MoneyTaker hakerske grupe. Kombinacija ovih faktora nametnula je logičan zaključak o tome ko stoji iza najnovijih napada.

Napadači su najverovatnije došli do uzorka CBR dokumenata u ranijim napadima u kojima su kompromitovani email nalozi zaposlenih u ruskim bankama. To su iskoristili za dizajniranje uverljivih email poruka i dokumenata, odnosno za ciljani napad na banke.

Ovakve spear-phishing kampanje su dosta popularne među sajber kriminlacima. Izvode ih grupe poput Buhtrap, Anunak, Cobalt i Lurk.

Glavne karakteristike hakerskih grupa

MoneyTaker i Silence su dve od četiri najopasnije hakerske grupe po međunarodne finansijske organizacije. MoneyTaker grupa koristi sve poznate vektore napada – spear-phishing email, drive-by napad, testiranje mrežne infrastrukture radi traženja ranjivosti itd. Nakon što dobiju pristup mreži iznutra, u stanju su da lako izvedu napade i povuku novac preko bankomata, sistema za obradu platnih kartica i međubankarskih platnih sistema. Silence hakerska grupa, s druge strane, primenjuje samo oprobani i testirani metod napada - phishing. Dosta pažnje posvećuju sadržaju i dizajniranju phishing email poruka.

Izvor: Group-IB