Хакеры массово рассылали вредоносные электронные письма финансовым организациям от имени Банка России и ФинЦЕРТ. Вредоносную компанию обнаружили специалисты Group-IB. По их мнению, за кибероперацией могут стоять две киберпреступные группировки — Silence и MoneyTaker.
Предполагается, что Silence осуществила атаку 15 ноября, а MoneyTaker — 23 октября. Вредоносная кибероперация была зафиксирована утром 15 ноября — злоумышленники рассылали письма по российским кредитным организациям, используя поддельный адрес Банка России.
Электронные письма рассылались под темой «Информация центрального банка Российской Федерации». В них мошенники давали банкам указание ознакомиться с неким новым постановлением ЦБ под названием «Об унифицировании формата электронных банковских сообщений ЦБ РФ». После ознакомления кредитные организации должны были немедленно приступить к выполнению приказа.
Электронные письма содержали вредоносное вложение в виде архива, содержащего программу, используемую группировкой Silence, — Silence.Downloader. При этом киберпреступники отлично постарались по части придания вредоносным письмам вида официальной рассылки от Центробанка.
По мнению экспертов, преступники были знакомы с образцами оригинальных писем регулятора.
MoneyTaker, которая провела атаку 23 октября, прикрывалась фейковым адресом ФинЦЕРТ. Письма содержали целых пять вложений под видом официальных документов. Один из файлов имел имя «Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc», три других были пустышками, еще два содержали даунлоадер Meterpreter Stager. В атаке использовались самоподписанные SSL-сертификаты.
Возможно, хакеры получили доступ к образцам документов регулятора, взломав почтовые ящики сотрудников российских банков.
