Хакеры российской группировки Cobalt атаковали 250 компаний по всему миру
Хакерская группировка Cobalt, известная масштабными атаками на финансовые учреждения, в результате которых банкоматы начинали выдавать деньги, и предположительно имеющая российские корни, в 2017 году значительно расширила сферу деятельности. Согласно отчету специализирующейся в области информационной безопасности компании Positive Technologies (есть у РБК), в первой половине 2017 года Cobalt разослала фишинговые письма, содержащие в себе зараженные файлы, более чем 3 тыс. получателей из 250 компаний в 12 странах мира. К списку традиционных для Cobalt целей, находящихся в СНГ, странах Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине. В сфере интересов группировки теперь не только банки, но и биржи, страховые компании, инвестфонды и другие организации.
Как утверждают эксперты, методы хакеров эволюционируют. Теперь, прежде чем атаковать банки, Cobalt предварительно взламывает инфраструктуру их партнеров — четверть всех атак приходится на госорганизации, промышленные компании, телекоммуникационные операторы и предприятия из сферы медицины. «Атаки на нефинансовые организации осуществляются с целью подготовки плацдарма для последующих атак на банки. К примеру, злоумышленники могут рассылать фишинговые письма от лица регулятора или партнера банка, для которого он предоставляет услуги», — пояснил РБК заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков. Он отмечает, что кредитно-финансовые организации гораздо лучше защищены от киберугроз, чем государственные органы и компании промышленного сектора. «Они постоянно совершенствуют свои защитные механизмы по причине частых атак на их инфраструктуру, поэтому злоумышленникам проще взломать инфраструктуру контрагента банка или государственной организации для осуществления непосредственной атаки на банк», — говорит Новиков.
Атаки на кредитно-финансовую сферу, на которые приходится 75% всех усилий хакеров из этой команды, стали более изощренными. Группировка массово отправляет фишинговые письма с поддельных доменов, имитирующие сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан, рассказали в Positive Technologies. Для этих целей Cobalt использовала как минимум 22 поддельных домена, имитирующих сайты крупных финансовых организаций и их контрагентов.
Кто есть кто
Наиболее опасными для банковского сообщества эксперты считают несколько группировок — Lurk, Buhtrap, Carbanak, Lazarus.
Хакеры из команды Lurk, создавшие одноименный банковский троян, смогли похитить со счетов российских банков более 1,7 млрд руб., прежде чем в июне 2016 года были задержаны МВД и ФСБ. Правоохранительные органы арестовали около 50 человек, связанных с этой группой, и заблокировали фиктивные платежные поручения еще на 2,3 млрд руб.
Группа Buhtrap была замечена экспертами в сфере информационной безопасности в 2014 году. По данным специализирующейся на предотвращении киберугроз Group-IB, с августа 2015 года по февраль 2016-го ее хакеры похитили со счетов российских банков 1,8 млрд руб., совершив 13 успешных атак. Среди пострадавших оказались Металлинвестбанк и Русский международный банк. Преступники рассылали жертвам содержавшие зараженные файлы фальшивые сообщения от имени Центробанка. Именно с деятельностью этой группировки эксперты Group-IB и Positive Technologies связывают хакеров из Cobalt. «Вероятно, часть группировки Buhtrap или даже основной ее костяк перешли в Cobalt. На данный момент Cobalt, безусловно, лидирует по степени опасности для отечественной финансовой среды как наиболее профессиональная и технически подкованная», — утверждают специалисты Positive Technologies.
В «Лаборатории Касперского» придерживаются мнения, что члены Cobalt — это выходцы из другой опасной группировки, Carbanak, первые атаки которой зафиксированы в 2013 году. «В 2014–2015 годах при хищении денежных средств из банков использовалась вредоносная программа Carbanak, для работы которой была необходима определенная инфраструктура — сетевые адреса. Потом те же самые адреса применялись для управления вредоносной программой, которая вошла в состав вредоносного программного обеспечения», — рассказал ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. По его данным, в группировке Carbanak состоит около ста человек, а ущерб от ее действий уже превысил $1 млрд. В среднем одна атака обходится российским банкам в десятки миллионов рублей, говорит Голованов.
Еще одна группа, целенаправленно атакующая банки, — Lazarus, наиболее известная кражей $81 млн из Банка Бангладеш в 2016 году. Согласно отчету Group-IB, эти хакеры могут быть близки к госструктурам КНДР, так как совершали часть атак из пхеньянского района Потхонган, где расположена штаб-квартира национального комитета по обороне КНДР.
Немало беспокойства вызвали и хакеры из сообщества под названием Metel, сейчас, возможно, прекратившие свою деятельность. Они были активны с 2011 года и за несколько лет смогли скомпрометировать счета на сумму более $250 млн. В ходе атаки на Энергобанк в 2016 году действия Metel привели к изменению курса рубля более чем на 15% и нанесли банку ущерб в размере 244 млн руб.
Как они атакуют
Типовая атака Cobalt состоит из нескольких этапов, рассказывает представитель Positive Technologies. Сначала регистрируются поддельные домены, якобы принадлежащие крупным компаниям, например Visa. Затем в адрес банков и их контрагентов проводится фишинговая рассылка, содержащая вредоносный файл, обычно документ Microsoft Word. После открытия этого вложения пользователем запускается программа, которая не дает системам антивирусной защиты среагировать на вирус. После чего загружается собственно троян, который позволяет организовать удаленный доступ к рабочему компьютеру сотрудника компании-жертвы. Далее злоумышленники могут либо развивать атаку внутри организации, либо отправить со взломанного рабочего стола письмо с аналогичным вредоносным софтом в другую организацию.
«Наша статистика показывает, что в среднем 20–30% сотрудников открывают потенциально опасные вложения, ставящие под угрозу всю безопасность компании. Но в данном случае процент открывших был в 2–2,5 раза выше, так как письма отправлялись от лица контрагента, а в ряде случаев даже от имени конкретных сотрудников», — говорят в Positive Technologies.
Руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов говорит, что главной целью Cobalt по-прежнему остается похищение денег у финансовых организаций, однако атаки хакеров действительно стали затрагивать не только банки. «Нашей системой Threat Intelligence были выявлены атаки на юридические компании, страховые компании, информационные и новостные агентства, лизинговые компании. Это делается для того, чтобы протестировать атаку на эффективность для дальнейших атак на банковскую инфраструктуру. Уже известны случаи, когда инфраструктура крупного интегратора использовалась этой группой для проведения атак на банки в Румынии, Казахстане, Азербайджане, Молдавии, России и др.», — говорит Миркасымов. По его словам, средняя сумма хищений по одному инциденту составляет около 100 млн руб.
Ущерб российских банков от действий хакеров за 2016 год составил чуть более 2 млрд руб., сообщал ранее заместитель начальника главного управления безопасности и защиты информации Центробанка Артем Сычев. Средний ущерб от кибератаки в этот период в мире в среднем составлял $926 тыс. на одну финансовую организацию, говорится в отчете «Лаборатории Касперского». В то же время средний годовой объем расходов одного банка на обеспечение кибербезопасности, по данным компании, сейчас достигает в мире $58 млн, что в три раза больше, чем у нефинансовых организаций.
