Banke u Rusiji ovih su dana meta masivne phishing kampanje čiji je cilj isporuka zlonamjernog alata kojeg koristi hakerska skupina Silence, objavio je Nacionalni CERT. Za članove te grupe se vjeruje da imaju pozadinu u legitimnim poslovima u kibernetičkoj sigurnosti te da imaju pristup dokumentima financijskog sektora.

Primjeri zlonamjernih poruka elektroničke pošte odaslani su na adrese Središnje banke Ruske Federacije, a sadržavale su zlonamjerni privitak. U tekstu se poruke tražilo od primatelja da preuzmu i otvore privitak kako bi provjerili detalje o “novim pravilima elektroničke komunikacije unutar tvrtke”.

Međunarodna tvrtka za kibernetičku sigurnost, Group-IB, analizirala je napad te su primijetili kako je stil i format teksta u velikoj mjeri sličan službenim porukama banke što govori u prilog teoriji kako su napadači analizirali službenu poštu Središnje banke Ruske Federacije te oblikovali phishing poruke na temelju analiziranog.

Ako napadači koji pripadaju grupi Silence imaju veze s legalnim radom u polju kibernetičke sigurnosti, vrlo je vjerojatno kako su upoznati s načinom na koji bankarski sektor posluje. U nedavnom izvještaju tvrtke Group-IB stoji kako su napadači lažirali adresu pošiljatelja, međutim, zlonamjernu poštu otkrio je DKIM (DomainKeys Identified Mail) sigurnosni mehanizam posebno dizajniran kako bi spriječio primanje pošte s lažiranih adresa tako što svakoj poruci pridaje zaseban potpis kojim potvrđuje autentičnost poruke.

Grupa Silence nije jedina koja pokušava spear-phishing tehnikom kompromitirati ruske banke. 23. listopada je druga grupa, MoneyTaker, pokrenula sličnu kampanju protiv istih meta.

Oni su poruke slali s lažirane adrese FinCERT-a (Financial Sector Computer Emergency Response Team), a u njima su ponovno bili zlonamjerni dokumenti koji su djelovali kao dokumenti Središnje banke Ruske Federacije.

Rustam Mirkasymov iz tvrtke Group-IB navodi kako je od 5 dokumenata 3 bilo lažno, dok su preostala 2 sadržavala Meterpreter Stager koji je, nakon pokretanja, preuzimao zlonamjerni sadržaj na pogođena računala. Također navodi kako su napadači koristili samopotpisane SSL certifikate.

Ti pokazatelji, uz korištenu infrastrukturu, pokazuju kako je najvjerojatnije riječ o MoneyTaker skupini. U slučaju skupine Silence se također vjeruje kako su napadači imali pristup sandučićima elektroničke pošte zaposlenika Središnje banke Ruske Federacije što im je omogućilo da stvore lažne, ali uvjerljive poruke.

Prema tvrtki Group-IB, više je skupina spear-phishing kampanjama napadalo Središnju banku Ruske Federacije, ali najopasnije su svakako Silence i MoneyTaker.

Podijeli: