Специалисты в области информационной безопасности из Group-IB обнаружили новую хакерскую группировку под названием Silence, которой в течение двух лет удалось обобрать большое число банков. За продвинутыми атаками стоят всего два человека, которые, судя по «следам», имеют непосредственное отношение к России. Как членам банды удалось украсть более 50 миллионов рублей за несколько месяцев и не попасться — в материале «Ленты.ру».
Первые атаки еще неокрепшей группировки Silence были безуспешными. Летом 2016 года они попытались взломать систему АРМ КБР — программное обеспечение для работы с электронными документами. Киберпреступники сумели обойти защиту и попытались вывести деньги. Подозрительную операцию быстро заметили и остановили, но об инциденте решили никому не докладывать.
Через месяц атака на банк повторилась. Во второй раз, помимо вторжения в систему, злоумышленникам удалось оставить программу-шпион, что позволило им отследить банковский документооборот. Повторный инцидент также быстро пресекли, систему почистили, и только после этого обратились к экспертам в области кибербезопасности. Правда, к тому времени следов хакеров не осталось.
Первую победу над банковской системой Silence одержали в 2017 году. Они вполне успешно провели несколько DDos-атак и запустили в банковские системы вирусы-трояны. Все эти нападения были организованы через общедоступные чаты в режиме реального времени. В октябре 2017 года хакеры впервые получили заработанный нечестным трудом большой куш: взломав банкоматы, они завладели суммой в 7 миллионов рублей. Вторую подобную атаку провели в апреле 2018 года: она принесла им еще 10 миллионов.
Самой крупной добычей Silence стали 35 миллионов рублей, захваченные ими полгода назад за одни февральские выходные. Тогда им удалось взять под контроль процессинг банковских карт. Вся сумма была обналичена через банкоматы финансовой организации-партнера, позволяющей снимать средства без комиссии.
В 2017 году по миру пронеслись крупнейшие хакерские атаки WannaCry, Petya и NotPetya. Именно поэтому деятельность Silence сначала приняли за новую волну вымогателей, шифрующих или захватывающих файлы. Но позднее оказалось, что почерк новоявленных киберпреступников не похож ни на одиозных сетевых шантажистов, ни на известную наглыми грабежами банков группировку Cobalt (она же Carbanak и Anunak).
Большинство атак неизвестных хакеров нацелены на российские банки. Чуть реже целями становятся организации из Украины, Белоруссии, Казахстана. Несколько раз киберпреступники атаковали польские и азербайджанские банки. Страны Западной Европы интересуют мошенников, по-видимому, мало: фишинговые рассылки в более чем два десятка стран по всему миру производились один-два раза.
Эксперты уверены, что Silence состоит из русскоговорящих хакеров. По крайней мере, работают они явно на кириллической клавиатуре. Троян их авторства состоит из команд, составленных из английских буквосочетаний, к примеру, htcnfhn и htrjyytrn. За этим набором символов скрываются слова «рестарт» и «реконнект», записанные в другой раскладке. Серверы для своих нужд хакеры также арендуют в основном в России и на Украине.
Исследователи в области кибербезопасности предполагают, что костяк группировки состоит всего из двух человек — разработчика и оператора. По крайней мере, именно эти два направления действий организации удалось подробно отследить. Их действия указывают на то, что у них, по-видимому, есть основная работа в области инжиниринга и тестировании программ.
Наблюдения показывают, что разработчик явно обладает высшим техническим образованием: он прекрасно знает, как создается ПО и как функционируют различные сложные устройства (к примеру, банкоматы). Вероятно, он использует служебное положение и выкрадывает у специалистов по безопасности некоторые образцы программ. Он также может отвечать за разработку планов проникновения в системы. Его слабая сторона — программирование, однако в этом вопросе его страхует оператор. Именно последний берет на себя весь процесс похищения.
Отличная подготовка и слаженность в работе позволили группировке Silence делать свое дело не только с помощью известных техник (например, боты для DDos-атак и первичного заражения системы трояном), но и создать свои собственные коды. Эксперты называют как минимум четыре самодельные программы, созданные злоумышленниками: Silence, Cleaner и Farse позволяют совершать атаки, получать данные с зараженных объектов и скрывать следы вмешательства, а Atmosphere помогает грабить банкоматы.
Арсенал Silence в войне с банками насчитывает множество заражающих компонентов. Хакеры, очевидно, постоянно модифицируют и исправляют свое ПО, а также следят за ошибками коллег-грабителей, чтобы не допустить их. Это очень заметно по программе Atmosphere, над которой члены банды работают особенно тщательно. Они заметно облегчили ее, убрав ненужные функции, но при этом расширили ее возможности по обработке разных видов банкоматов. Во время инспекции в неназванном российском банке эксперты обнаружили более десятка разных вариаций кода Atmosphere.
Однако Silence не всегда пользовалась самодельными программами. К примеру, в 2017 году в попытке взломать системы зарубежных банков хакеры использовали программу Smoke Bot, которая известна в даркнете еще с начала 2010-х (ее основным продавцом был русскоязычный хакер). Тогда же в фишинговых атаках хакеры применили эксплоит, который, предположительно, использует группировка Fancy Bear (она же APT28 и Pawn Storm, банду неоднократно обвиняли в связях с российским правительством).
При захвате банковской системы основной тактикой хакеров стали фишинговые рассылки бесчисленному количеству сотрудников организаций. Злоумышленники не изобрели ничего нового, пойдя по тропе, проторенной большинством киберграбителей: так же поступают, к примеру, активисты Cobalt, чья добыча только из российских банков исчисляется миллиардами рублей.
Однако, в отличие от коллег-хакеров, Silence более аккуратны.Их грамотно составленные электронные письма несложно перепутать с настоящими посланиями банковских коллег. Мошенники пользуются как известными почтовыми сервисами (att.net, mail.com), так и регистрируют новые домены, повторяющие с небольшими изменениями банковские адреса. Иногда инструментом в руках преступников становятся и взломанные серверы.
Программная платформа Silence имеет особый самостоятельный загрузчик, который запускается после открытия прикрепленного к письму файла. Интересно, что вредное ПО анализирует, насколько захватываемый сервер может быть полезен в атаке. В случае чего, бот, запускающий заражение трояном, бесследно самоудалится.
Если вирус нашел свое поле деятельности, он встраивается в систему — регистрируется и включается в работу на сервере. Помимо этого, на инфицированную машину подгружается бот-модуль, который занимается маршрутизацией в интересах злоумышленников. То есть передает вредный трафик от хакеров в сеть, к которой подключен захваченный компьютер. В финале хакеры встраиваются в сеть: программы превращают их работу в автоматический процесс.
Все эти инструменты позволили Silence провести длительные атаки на банки во второй половине 2017 года. Проникновение в структуру изнутри позволило им получить миллионы рублей наличными через банкоматы. Управляя аккаунтом сотрудника, хакеры ликвидировали лимиты на снятие средств с некоторых карт. Позднее обнальщики получили по ним сумму, превышающую 35 миллионов рублей.
В октябре 2017 года хакерам удалось установить в банкомат свою программу, нарушающую процесс выдачи денег. В результате устройство автоматически выдало злоумышленникам все содержимое — около 7 миллионов рублей. Идентичная атака произошла спустя полгода — в апреле 2018 года, и принесла хакерам почти 10 миллионов.
Silence атакует избирательно, тщательно выбирает жертв и не боится тратить намного больше времени, чем другие хакеры, на подобные нападения. По утверждениям специалистов, российские организации могут быть лишь тренировочной площадкой, а на очереди — банки по всему миру.