Фальшивый Центробанк атаковал российские банки

18.03.2016

Вернуться к списку новостей Любопытный инцидент был зафиксирован 15 марта 2016 года. Хакерская группировка под видом сотрудников FinCERT (подразделение информационной безопасности ЦБ РФ) провела узконаправленную атаку на многие российские банки.

Во вторник служащие финучреждений обнаружили на почте письма с адресом отправителя info@fincert.net. (прим.: реальный ящик fincert@cbr.ru). Стоит отметить грамотное применение социальной инженерии: созданный всего год назад, FinCERT уже стал довольно известным, и во многом – из-за участившихся атак на банки. Очевидно, мошенники использовали репутацию подразделения в своих интересах.

Домен fincert.net, который использовали хакеры, был зарегистрирован накануне атаки через регистратор reg.ru. Информация о владельце закрыта. Второй домен – view-atdmt.com – был приобретен для сервера и зарегистрирован примерно в то же время. Физически IP-адрес 31.184.234.204 сервера, на котором был размещен домен, находится на хостинге в Санкт-Петербурге.

Что в письме?

Интересно, что атака была по-настоящему таргетированной. Мошенники не просто рассылали письма всем подряд, они направляли сообщения конкретным людям, к которым обращались по имени отчеству. Эксперты, ведущие расследование, утверждают, что эта информация находится в закрытом доступе и предполагает, что ее могли взять из каких-то служебных документов, материалов отраслевых конференций и т.д.

Очередным «социальным доказательством» в письме стало имя вложенного в письмо файла: «20160314 – 001 — Возможная компрометация АРМ КБР. doc». Цифровой код «20160314 – 001» является номенклатурным и действительно используется FinCERT для уведомления об атаках. Такой нюанс также дает основания полагать, что мошенники имели доступ к закрытой информации.

Что во вложении?

Конечно, прикрепленный к письму файл был вредоносным. Он содержал встроенный VBA макрос «NewMacros». Как только пользователь запускал его, с удаленного сервера скачивался файл fincert.cab, подписанный легальной цифровой подписью московской компании «СПЕК-2000». Неувязка в том, что данная компания, хоть и реальна, занимается перевозками. Зачем перевозчикам цифровой сертификат и почему вредонос подписали именно им, пока неясно.

После загрузки и запуска, malware в первую очередь маскировала свое присутствие в системе. Точное количество потенциальных жертв – получателей письма – пока не установлено. Известно, что по состоянию на 16 марта упомянутый файл был проверен на VirusTotal более 70 раз из 56 источников.

Артем Сычев, заместитель начальника главного управления безопасности и защиты информации Банка России, резюмировал происшествие так: «Этот инцидент доказывает два момента: деятельность FinCERT интересна криминалу, и они нас читают внимательней, чем банки».