Международная компания Group-IB, специализирующаяся на предотвращении кибератак, рассказала подробности преступлений группировки Cobalt в отношении банков и их клиентов. Хакерам удалось за последнее время провести две мощные атаки, зафиксированные 23 и 28 мая.
Целями компьютерных взломщиков стала банковская система России и СНГ, также пострадали и другие иностранные финучреждения.
Cobalt — группировка, которую Банк России называл главной угрозой для кредитных организаций. Всего за свою деятельность кобальтники похитили свыше миллиарда евро.
Несмотря на арест лидера Cobalt в Испании в марте 2018 года, 23 мая была зафиксирована новая волна атак, инициированная остатками хакерской группы. Отметим, что в последний раз крупнейшая атака на российские финансовые организации была зарегистрирована в декабре прошлого года.
Хакеры Cobalt на этот раз пошли на хитрость: они рассылали фишинговые письма от имени производителя антивирусных продуктов — «Лаборатории Касперского».
«Счастливый» обладатель хакерского письма получал уведомление, что с его компьютера зарегистрирована нарушающая законодательство активность. Получателю предлагалось ознакомиться со вложенным письмом и предоставить свои объяснения произошедшего. При этом в письме содержалась даже угроза: если пользователь в течение 48 часов не предоставит необходимую информацию, то на его web-ресурсы обещали наложить ограничения. Для того, чтобы скачать письмо, нужно было перейти по ссылке. А это, в свою очередь, привело бы к заражению компьютера сотрудника банка.
«На прошлой неделе действительно была зафиксирована фишинговая рассылка, маскирующаяся под уведомления для пользователей. Упоминание известного бренда в подобных случаях — очень распространенная практика. Часто фальшивые письма и фальшивые сайты во всем повторяют дизайн настоящих, чтобы ввести в заблуждение невнимательных пользователей: могут маскироваться имена файлов, сервера управления и т.д. На данный момент домены, с которых распространялась рассылка, заблокированы, вредоносное программное обеспечение изначально детектировалось и блокировалось», — прокомментировали порталу News.ru произошедшее в пресс-службе «Лаборатории Касперского».
Кроме того, 28 мая была зафиксирована вторая волна вредоносной рассылки Cobalt. Письмо в кредитные организации отправлялось от имени якобы Центрального Европейского банка. В письме была ссылка на документ, описывающий финансовые риски. Но его открытие привело бы к установлению вредоносной программы в системе банка.
Оба письма были составлены на английском языке, поэтому жертвами рассылки могли быть и иностранные банки. В атаке 23 мая текст был стилизован под «юридическую жалобу», а поддельный сайт «Лаборатории Касперского» отличался высоким уровнем качества. Эти и другие признаки указывали на вероятность проведения оставшимися на свободе членами Cobalt совместной операции с другими преступными группами, в частности, Anunak.
Впервые хищения через SWIFT группа Cobalt совершила весной 2016 года в банке Гонконга, затем на Украине. Миллионы долларов, похищенные в обоих случаях, требовали не только технологической подготовки, но и серьезных контактов с обнальщиками, которые могли бы пропустить через себя крупные суммы, выведенные через SWIFT. Эти и другие факторы позволяли предположить, что скорее всего они действовали не одни.
© Group-IBПосле украинского эпизода атаки с использованием системы межбанковских переводов резко прекратились. Cobalt переключились на значительно более простые и безопасные для лиц, привлекаемых для обналичивания, взломы банков через карточный процессинг и банкоматы. Первым большим самостоятельным успехом Cobalt стал First Bank на Тайване. В ходе атаки на банкоматы хакерам удалось похитить $2,18 млн. В сентябре 2016 они сумели получить доступ в один из банков Казахстана. Процесс подготовки атаки и изучения инфраструктуры банка занял два месяца. В ноябре они успешно похитили около $600 тыс через карточный процессинг, после чего поставили такие атаки на поток. Уже в 2017 году, используя этот метод хищения, хакеры Cobalt установили абсолютный «рекорд» и предприняли попытку похитить 25 млн евро в одном из европейских банков.
Лишь через 1,5 года Cobalt рискнет атаковать SWIFT снова. Именно тогда в декабре 2017 года произойдет атака через SWIFT в российском банке, ставшая первым подобным прецедентом в истории отечественной банковской индустрии. В 2017 году Cobalt находят команду разработчиков, которые создают и тестируют новые инструменты по заказу группы. В частности, с целью вывода из строя банковской сети хакеры использовали модификацию известного во всем мире вируса-шифровальщика Petya.
Отметим, что от фишинга в настоящее время нет универсального средства, кроме повышенной бдительности пользователей. Проблема в том, что мошенники постоянно меняют методы атаки. А хакеры, стоящие за фишинговыми операциями, могут запустить персональную кампанию, направленную, например, только на сотрудников определенного банка или лишь на кормящих матерей. Таков, увы, вредоносный маркетинг.
Дмитрий Волков, CTO Group-IB:
Cobalt по-прежнему активен: участники группы не прекращают атаковать финансовые и другие организации во всем мире. Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая установить своего рода анти-рекорды этим группам в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя. Для того, чтобы дать возможность бизнесу и регуляторам рынка принять превентивные меры против действий этих преступников, мы публикуем технические индикаторы для защиты от фишинга, для идентификации инфраструктуры и методов, до сих пор используемых этими преступниками
Рустам Миркасымов, эксперт по киберразведке:
26 марта Европол сообщил об аресте в испанском городе Аликанте лидера преступной группы Cobalt. Размах их деятельности поражает: Cobalt, по оценкам Европола, похитила около 1 млрд евро у 100 банков в 40 странах мира: России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Но, несмотря на арест, лидера группы Cobalt, а чуть раньше — руководителя группы обнальщиков и нескольких его помощников, оставшиеся на свободе хакеры продолжают терроризировать финансовые учреждения. Списывать со счетов Cobalt пока еще рано.
