Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Хакеры российской группировки Cobalt атаковали 250 компаний по всему миру

Хакеры из группировки Cobalt, летом 2016 года заставившие банкоматы на Тайване и в Таиланде выбрасывать деньги, в первой половине 2017 года атаковали более 250 организаций по всему миру, рассылая письма от имени Visa и MasterCard
Фото: Markku Ulander / Lehtikuva / ТАСС
Фото: Markku Ulander / Lehtikuva / ТАСС

​Хакерская группировка Cobalt, известная масштабными атаками на финансовые учреждения, в результате которых банкоматы начинали выдавать деньги, и предположительно имеющая российские корни, в 2017 году значительно расширила сферу деятельности. Согласно отчету специализирующейся в области информационной безопасности компании Positive Technologies (есть у РБК), в первой половине 2017 года Cobalt разослала фишинговые письма, содержащие в себе зараженные файлы, более чем 3 тыс. получателей из 250 компаний в 12 странах мира. К списку традиционных для Cobalt целей, находящихся в СНГ, странах Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине. В сфере интересов группировки теперь не только банки, но и биржи, страховые компании, инвестфонды и другие организации.

Как утверждают эксперты, методы хакеров эволюционируют. Теперь, прежде чем атаковать банки, Cobalt предварительно взламывает инфраструктуру их партнеров — четверть всех атак приходится на госорганизации, промышленные компании, телекоммуникационные операторы и предприятия из сферы медицины. «Атаки на нефинансовые организации осуществляются с целью подготовки плацдарма для последующих атак на банки. К примеру, злоумышленники могут рассылать фишинговые письма от лица регулятора или партнера банка, для которого он предоставляет услуги», — пояснил РБК заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков. Он отмечает, что кредитно-финансовые организации гораздо лучше защищены от киберугроз, чем государственные органы и компании промышленного сектора. «Они постоянно совершенствуют свои защитные механизмы по причине частых атак на их инфраструктуру, поэтому злоумышленникам проще взломать инфраструктуру контрагента банка или государственной организации для осуществления непосредственной атаки на банк», — говорит Новиков.

Атаки на кредитно-финансовую сферу, на которые приходится 75% всех усилий хакеров из этой команды, стали более изощренными. Группировка массово отправляет фишинговые письма с поддельных доменов, имитирующие сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан, рассказали в Positive Technologies. Для этих целей Cobalt использовала как минимум 22 поддельных домена, имитирующих сайты крупных финансовых организаций и их контрагентов.

Кто есть кто

Наиболее опасными для банковского сообщества эксперты считают несколько группировок — Lurk, Buhtrap, Carbanak, Lazarus.

Хакеры из команды Lurk, создавшие одноименный банковский троян, смогли похитить со счетов российских банков более 1,7 млрд руб., прежде чем в июне 2016 года были задержаны МВД и ФСБ. Правоохранительные органы арестовали около 50 человек, связанных с этой группой, и заблокировали фиктивные платежные поручения еще на 2,3 млрд руб.

Группа Buhtrap была замечена экспертами в сфере информационной безопасности в 2014 году. По данным специализирующейся на предотвращении киберугроз Group-IB, с августа 2015 года по февраль 2016-го ее хакеры похитили со счетов российских банков 1,8 млрд руб., совершив 13 успешных атак. Среди пострадавших оказались Металлинвестбанк и Русский международный банк. Преступники рассылали жертвам содержавшие зараженные файлы фальшивые сообщения от имени Центробанка. Именно с деятельностью этой группировки эксперты Group-IB и Positive Technologies связывают хакеров из Cobalt. «Вероятно, часть группировки Buhtrap или даже основной ее костяк перешли в Cobalt. На данный момент Cobalt, безусловно, лидирует по степени опасности для отечественной финансовой среды как наиболее профессиональная и технически подкованная», — утверждают специалисты Positive Technologies.

В «Лаборатории Касперского» придерживаются мнения, что члены Cobalt — это выходцы из другой опасной группировки, Carbanak, первые атаки которой зафиксированы в 2013 году. «В 2014–2015 годах при хищении денежных средств из банков использовалась вредоносная программа Carbanak, для работы которой была необходима определенная инфраструктура — сетевые адреса. Потом те же самые адреса применялись для управления вредоносной программой, которая вошла в состав вредоносного программного обеспечения», — рассказал ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. По его данным, в группировке Carbanak состоит около ста человек, а ущерб от ее действий уже превысил $1 млрд. В среднем одна атака обходится российским банкам в десятки миллионов рублей, говорит Голованов.

Еще одна группа, целенаправленно атакующая банки, — Lazarus, наиболее известная кражей $81 млн из Банка Бангладеш в 2016 году. Согласно отчету Group-IB, эти хакеры могут быть близки к госструктурам КНДР, так как совершали часть атак из пхеньянского района Потхонган, где расположена штаб-квартира национального комитета по обороне КНДР.

Немало беспокойства вызвали и хакеры из сообщества под названием Metel, сейчас, возможно, прекратившие свою деятельность. Они были активны с 2011 года и за несколько лет смогли скомпрометировать счета на сумму более $250 млн. В ходе атаки на Энергобанк в 2016 году действия Metel привели к изменению курса рубля более чем на 15% и нанесли банку ущерб в размере 244 млн руб.

Как они атакуют

Типовая атака Cobalt состоит из нескольких этапов, рассказывает представитель Positive Technologies. Сначала регистрируются поддельные домены, якобы принадлежащие крупным компаниям, например Visa. Затем в адрес банков и их контрагентов проводится фишинговая рассылка, содержащая вредоносный файл, обычно документ Microsoft Word. После открытия этого вложения пользователем запускается программа, которая не дает системам антивирусной защиты среагировать на вирус. После чего загружается собственно троян, который позволяет организовать удаленный доступ к рабочему компьютеру сотрудника компании-жертвы. Далее злоумышленники могут либо развивать атаку внутри организации, либо отправить со взломанного рабочего стола письмо с аналогичным вредоносным софтом в другую организацию.

Взломать систему: резонансные хакерские атаки последних лет
Фотогалерея 
В июле 2015 года директор американского Управления по персоналу Кэтрин Арчулета покинула свой пост вскоре после крупнейшей кражи персональных данных, в результате которой хакеры получили сведения о 22 млн гражданах США — госслужащих и членах их семей. Похищенную базу данных в США называли крупнейшей в истории, а в качестве организатора кибератаки упоминалось правительство Китая.

«Наша статистика показывает, что в среднем 20–30% сотрудников открывают потенциально опасные вложения, ставящие под угрозу всю безопасность компании. Но в данном случае процент открывших был в 2–2,5 раза выше, так как письма отправлялись от лица контрагента, а в ряде случаев даже от имени конкретных сотрудников», — говорят в Positive Technologies.

Руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов говорит, что главной целью Cobalt по-прежнему остается похищение денег у финансовых организаций, однако атаки хакеров действительно стали затрагивать не только банки. «Нашей системой Threat Intelligence были выявлены атаки на юридические компании, страховые компании, информационные и новостные агентства, лизинговые компании. Это делается для того, чтобы протестировать атаку на эффективность для дальнейших атак на банковскую инфраструктуру. Уже известны случаи, когда инфраструктура крупного интегратора использовалась этой группой для проведения атак на банки в Румынии, Казахстане, Азербайджане, Молдавии, России и др.», — говорит Миркасымов. По его словам, средняя сумма хищений по одному инциденту составляет около 100 млн руб.

Ущерб российских банков от действий хакеров за 2016 год составил чуть более 2 млрд руб., сообщал ранее заместитель начальника главного управления безопасности и защиты информации Центробанка Артем Сычев. Средний ущерб от кибератаки в этот период в мире в среднем составлял $926 тыс. на одну финансовую организацию, говорится в отчете «Лаборатории Касперского». В то же время средний годовой объем расходов одного банка на обеспечение кибербезопасности, по данным компании, сейчас достигает в мире $58 млн, что в три раза больше, чем у нефинансовых организаций.

Авторы
Теги
Магазин исследований Аналитика по теме "Банки"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.


 

Лента новостей
Курс евро на 21 декабря
EUR ЦБ: 106,54 (-1,41)
Инвестиции, 20 дек, 18:16
Курс доллара на 21 декабря
USD ЦБ: 102,34 (-1,08)
Инвестиции, 20 дек, 18:16
Экс-глава производства вакцины от COVID получил девять лет за коррупциюПолитика, 14:21
НКР подтвердило кредитный рейтинг «МаксимаТелеком» на уровне A-.ruКредитные рейтинги, 14:17
Силовики обыскали родителей основателя «Омского гражданского объединения»Политика, 14:17
В Италии фанаты встретили первый гол правнука Муссолини зигованиемСпорт, 14:15
Слуцкий рассказал, сколько еще планирует работать в китайском клубеСпорт, 14:14
Лукашенко анонсировал встречу с Путиным через пару днейПолитика, 14:13
Сезонный бизнес-марафон: как устроен проект «Зима в Москве»Город, 14:12
Как пить красиво и осознанно
Новый интенсив РБК Pro об алкоголе
Подробнее
Следователи возбудили уголовное дело о взрыве на заводе в ХакасииОбщество, 14:09
Tether вложила $775 млн в конкурента YouTubeКрипто, 14:08
Что формирует спрос на съемные квартиры в столичном регионе14:06
Обвиняемый в убийстве экс-сенатор стал фигурантом иска на ₽3 млрдПолитика, 14:04
В России сократились продажи самогонных аппаратовВино, 14:00
Убивший репортера «Фонтанки» полковник сознался в другом преступленииОбщество, 13:57
На окраине Людиново Калужской области нашли обломки беспилотникаПолитика, 13:54