Η Group IB εντόπισε μια τεράστια καμπάνια προσποιούμενη την κεντρική τράπεζα της Ρωσίας, με στόχο διάφορα Ρωσικά χρηματοπιστωτικά ιδρύματα. Τα emails ήταν «μεταμφιεσμένα» και έμοιαζαν με τα αληθινά emails που στέλνει η κεντρική τράπεζα της Ρωσίας και της FinCERT. Οι ειδικοί της Group IB ανακάλυψαν ότι η επίθεση της 15ης Νοέμβριου θα μπορούσε να έχει εκτελεστεί από το hacker group Silence, ενώ η επίθεση της 23ης Οκτωβρίου από την MoneyTaker. Η Group IB θεωρεί αυτά τα δυο hacker group ως τα πιο επικίνδυνα στην Ρωσία.
Επίθεση Νοεμβρίου: Silence
Το πρωί της 15ης Νοεμβρίου, η Group IB εντόπισε μια καμπάνια που έστελνε μαζικά emails σε όλες τις τράπεζες της Ρωσίας, από μια ψεύτικη ηλεκτρονική διεύθυνση, όπου φαινόταν να ανήκει στην CBR (Central Bank of Russia). Προφανώς η CBR δεν έχει καμία σχέση με την καμπάνια. Η καμπάνια χρησιμοποιούσε μια διεύθυνση της τράπεζας (ή τουλάχιστον έτσι φαινόταν μέσω spoofing), αλλά όχι το SSL certificate που θα έπρεπε επίσης να χρησιμοποιεί. Το email που αποστελλόταν είχε το θέμα ”Information from the Central Bank of the Russian Federation”, και ζήταγε από τους παραλήπτες να ελέγξουν την απόφαση ενός ρυθμιστικού φορέα. Τα αρχεία που έπρεπε οι παραλήπτες να ανοίξουν βρίσκονταν μέσα σε ένα συμπιεσμένο αρχείο zip, το οποίο κατά το άνοιγμα του, κατέβαζε το Silence.Downloader, δηλαδή το εργαλείο που χρησιμοποιούν οι hackers της ομάδας Silence. Αυτό που παρατήρησαν οι ερευνητές της Group IB είναι ότι η δομή των email ήταν πανομοιότυπη με αυτή που χρησιμοποιεί η τράπεζα, πράγμα που σημαίνει ότι οι hackers με κάποιον τρόπο είχαν στην διάθεση τους δείγματα που μπορούσαν να αντιγράψουν. Σύμφωνα με το report της Group IB, μέλη της Silence πρέπει να ήταν στο παρελθόν ή να είναι ακόμα εργαζόμενοι της τράπεζας ως penetrator testers ή reverse engineers.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Επίθεση Οκτωβρίου: MoneyTaker
Το μήνυμα το οποίο στάλθηκε στις 23 Οκτωβρίου, επίσης από πλαστή διεύθυνση email της FinCERT, περιείχαν 5 επισυναπτόμενα αρχεία, πανομοιότυπα με αρχεία της CBR. Τα 3 από τα 5 ήταν κενά αρχεία doc, ενώ τα άλλα δυο έκαναν λήψη του Meterpreter Stager. Για να εκτελέσουν την επίθεση, οι hackers χρησιμοποίησαν δικό τους SSL Certificate, ενώ χρησιμοποίησαν τον ίδιο server που είχαν χρησιμοποιήσει και σε προηγούμενες επιθέσεις τους, από όπου και βγήκε το συμπέρασμα ότι η MoneyTaker βρίσκονταν πίσω από την επίθεση του Οκτωβρίου.
Το αυτοματοποιημένο σύστημα ανίχνευσης εισβολών της Group IB εντόπισε αμέσως την καμπάνια και ενημέρωσε τις υπόλοιπες τράπεζες για την κακόβουλη δραστηριότητα. “Τα hacker groups MoneyTaker και Silence είναι οι δυο πιο επικίνδυνες ομάδες που στοχεύουν χρηματοοικονομικά ιδρύματα. Από προηγούμενες επιθέσεις τους, έχουμε δει ότι στοχεύουν οργανισμούς με κάθε πιθανό τρόπο που μπορούν να σκεφτούν. Για παράδειγμα μπορεί να στείλουν spear phishing emails, να ληστέψουν κάποιο φυσικό κατάστημα του οργανισμού, ή να ελέγξουν το δίκτυο του οργανισμού για πιθανές ευπάθειες. Αφού καταφέρουν να πάρουν πρόσβαση σε κάποιο εσωτερικό σύστημα του οργανισμού, μπορούν εύκολα να εκτελέσουν καταστροφικές επιθέσεις, να κάνουν αναλήψεις από ΑΤΜ, να πάρουν πρόσβαση σε εσωτερικά συστήματα και πολλά άλλα. Από το ιστορικό των επιθέσεων τους ωστόσο συμπεραίνουμε ότι προτιμούν τις επιθέσεις phishing, στις οποίες δίνουν μεγάλη προσοχή για να τις κάνουν να φαίνονται αληθινές.
Η Group IB είναι συνεργάτης της INTERPOL, της EUROPOL, και προτείνεται από την SWIFT και την OSCE.