МОСКВА, 29 мая. /ТАСС/. Компания в сфере расследования и предотвращения киберпреступлений Group-IB сообщила о новых массовых атаках хакеров группировки Cobalt, целями которых стали, в том числе, ведущие банки России и СНГ, а также зарубежные финансовые организации. Как говорится в сообщении Group-IB, атаки произошли 23 и 28 мая с помощью рассылок фишинговых писем.
В Group-IB не уточнили ТАСС, о каких именно банках идет речь. В то же время ТАСС пояснили, что в базе рассылки, которую регулярно использует Cobalt, есть как минимум 86 различных организаций по всему миру. "В этот список входят банки, страховые компании, СМИ, лизинговые компании, строительные компании, интернет-провайдеры, юридические конторы, интеграторы в СНГ, США, Европе, Азии - фактически, по всему земному шару", - уточнили в компании. Из этого списка злоумышленники формируют "подписки" в зависимости от целей атаки, примерно половина базы приходится на Россию. При этом по факту список атакуемых организаций может быть шире, и, скорее всего, это так.
"Финцерт" Банка России своевременно информировал кредитные организации о данных фишинговых рассылках", - прокомментировали ситуацию в пресс-службе ЦБ.
Первая волна
Первая волна фишинговой рассылки Cobalt была зафиксирована 23 мая в 13:21 по мск (спустя почти пять месяцев перерыва в атаках этой группы в России - последние атаки Cobalt в РФ были в декабре 2017 года). "Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора", - рассказали в Group-IB, уточнив, что почтовая рассылка шла с домена kaspersky-corporate.com. Этот домен зарегистрирован не на "Лабораторию Касперского": как отмечают в Group-IB, этот домен "показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt".
По данным Group-IB, хакеры рассылали пользователям с этого домена "жалобы" на английском языке якобы об обнаружении активности, нарушающей существующее законодательство. "Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, "антивирусная компания" угрожала наложить санкции на web-ресурсы получателя", - пояснили эксперты. Чтобы скачать это письмо, пользователю нужно было перейти по ссылке, а это привело бы к заражению компьютера сотрудника банка.
В "Лаборатории Касперского" подтвердили ТАСС, что на прошлой неделе действительно была зафиксирована фишинговая рассылка, маскирующаяся под уведомления для пользователей. "На данный момент домены, с которых распространялась рассылка, заблокированы, вредоносное программное обеспечение изначально детектировалось и блокировалось защитными решениями "Лаборатории Касперского", пояснили в компании. При этом в "Лаборатории Касперского" отметили, что упоминание известного бренда в подобных случаях - очень распространенная практика. "Часто фальшивые письма и фальшивые сайты во всем повторяют дизайн настоящих, чтобы ввести в заблуждение невнимательных пользователей: могут маскироваться имена файлов, сервера управления и др.", - добавили в компании.
Вторая волна
Вторая масштабная вредоносная рассылка Cobalt была зафиксирована спустя пять дней - 28 мая около 13:00 по мск, отметили в Group-IB. На этот раз злоумышленники старались замаскироваться под Центральный европейский банк. В письме содержалась ссылка на документ с разрешением .doc, в котором якобы содержалось описание финансовых рисков. На самом деле этот документ Word эксплуатировал уязвимость CVE-2017-11882. "В результате открытия эксплойта и успешной эксплуатации уязвимости произойдет заражение и первичное "закрепление" вредоносной программы в системе банка с помощью уникального загрузчика JS-backdoor, уникальной разработки Cobalt", - отмечается в сообщении.
По мнению Group-IB, жертвами этих кибератак могли стать не только банки России и СНГ, поскольку оба письма составлены на английском языке. Эксперты оценили качество фишинговых писем как высокое. "Например, в атаке 23 мая текст на английском языке стилизован под "юридическую жалобу", а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что нехарактерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группы Cobalt совместной операции с другими преступными группами, в частности, Anunak", - отмечается в сообщении.
"Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода антирекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя. Для того чтобы дать возможность бизнесу и регуляторам рынка принять превентивные меры против действий этих преступников, мы публикуем технические индикаторы для защиты от фишинга, для идентификации инфраструктуры и методов, до сих пор используемых этими преступниками", - пояснил CTO Group-IB Дмитрий Волков.
О хакерской группировке Cobalt
Группировка Cobalt - одна из самых агрессивных русскоговорящих хакерских групп в мире, действующая с 2013 года. Согласно данным Европола, за все время работы Cobalt похитила свыше €1 млрд. При этом только в одном из инцидентов в европейском банке злоумышленники попытались вывести €25 млн, отмечается в исследовании Group-IB. Жертвами группировки Cobalt стали финансовые структуры более чем в 40 странах, среди которых - Россия, Великобритания, Нидерланды, Испания и др. Лидер Cobalt был арестован в Испании в марте этого года, однако несмотря на это группа сохранила свою активность, отмечали в Group-IB.
Одной из самых ярких особенностей Cobalt стали хищения с использованием системы межбанковских переводов SWIFT. Первое такое хищение хакеры совершили весной 2016 года в банке Гонконга, затем на Украине. Они также организовали первую атаку через SWIFT в истории отечественной банковской индустрии - она произошла в декабре 2017 года в российском банке.