Group-IB, международная компания, специализирующаяся на предотвращении кибератак, опубликовала технический отчет «Silence 2.0: going global» о преступлениях русскоязычных хакеров Silence. По данным Group-IB, подтвержденная сумма хищений группой Silence с июня 2016 года по июнь 2019 года составила не менее 272 млн рублей. Жертвами Silence уже стали российские банки, однако в новом отчете фиксируется значительное расширение географии их преступлений: аналитики Group-IB обнаружили атаки Silence более чем 30 странах Европы, Азии и СНГ.

Новый отчет Group-IB «Silence 2.0: going global» содержит полное техническое исследование инструментов и тактики группы, а также включает индикаторы компрометации атакованных целей. «Обладая наиболее полной экспертизой о деятельности Silence и опытом проведения реагирований на их атаки, мы считаем необходимым информировать не только клиентов, но и профессиональное коммьюнити об этой угрозе, — заявил Дмитрий Волков, руководитель направления киберразведки и CTO Group-IB. — Эволюция группы, модификация прежних инструментов и появление новых усложняют выявление и предотвращение киберинцидентов, связанных с ней. Учитывая растущий ущерб от деятельности Silence, для повышения эффективности противостояния этой группе во всем мире мы приняли решение выложить прежний отчет „Silence: Moving into the darkside“ и новый „Silence 2.0: going global“ в открытый доступ. Публикация этих уникальных аналитических материалов позволит компаниям и аналитикам в разных странах корректно атрибутировать атаки Silence и детектировать их на ранней стадии». В Group-IB подчеркнули, что из отчетов исключены данные, которые могут помешать расследованию киберпреступлений группы.

Эксперты Group-IB непрерывно следят за активностью Silence c 2016 года. Первое исследование «Silence: Moving into the darkside», выпущенное Group-IB в сентябре 2018 года, остается наиболее полным источником технической информации об инфраструктуре и инструментах, использовавшихся киберпреступниками с июня 2016 года по апрель 2018 года.

Второй отчет охватывает период с мая 2018 года по 1 августа 2019 года. За это время системой мониторинга, анализа и прогнозирования киберугроз Group-IB Threat Intelligence было зафиксировано не менее 16 новых кампаний Silence, нацеленных на банки разных стран. В целом, по данным Group-IB, в 2019-м году география атак Silence стала самой обширной за все время существования группы. Хакерами были заражены рабочие станции более чем в 30 государствах мира в Азиатском регионе, Европе и СНГ. В июле жертвами Silence стали банки в Чили, Болгарии и Гане, в июне хакеры провели серию атак на российские банки, в мае — две успешных атаки: в Киргизии и бангладешском банке Duch-Bangla, в феврале — омский «ИТ Банк», в январе — взлом банка в Индии. Подтвержденный ущерб, нанесенный Silence, с момента релиза прошлого отчета вырос в 5 раз и составил не менее 272 млн рублей или 4,2 млн долларов США.

Начав с целей в России, атакующие постепенно перемещали фокус на СНГ, а затем вышли на международный рынок. Среди тактических изменений — «двухходовка» на подготовительном этапе атаки. Сначала по огромной базе адресов (до 85 000) рассылаются письма-пустышки без вредоносной нагрузки. Это позволяет хакерам обновить свою базу актуальных целей, расширить географию атак и понять, какие решения по кибербезопасности используются в банке. Результатом этой тестовой рассылки является создание «боевой» базы почтовых адресов. Именно по этой базе пойдет рассылка с вредоносным вложением. В отчете рассматриваются три таких кампании, охватившие Россию и СНГ, Азию и Европу. Суммарно хакеры отправили более 170 000 писем для актуализации адресов будущих целей.

В ответ на усиленное внимание со стороны разработчиков решений для кибербезопасности Silence внесли ряд модификаций в свои инструменты и начали использовать новые. Так, был кардинально переписан первичный загрузчик Silence.Downloader (или TrueBot), применяемый на первой стадии атаки и во многом определяющий ее успешность. Изменения коснулись логики исполнения Silence.Downloader и Silence.Main, а также команд, исполняемые ботами.

В ходе реагирований на киберинциденты, связанные с Silence, были выявили новые инструменты. Так, 23 июня 2019 года специалисты Group-IB зафиксировали атаки на банки Чили, Коста-Рики, Ганы и Болгарии. Здесь использовался инструмент, догружаемый основным трояном Silence.Main и основанный на публичных проектах для тестирований на проникновение Empire и dnscat2. Инструмент получил название EmpireDNSAgent или просто EDA.

Также в мае 2019 года был обнаружен Ivoke-бэкдор — полностью бесфайловый троян, задача которого собрать сведения о зараженной системе и загрузить следующую стадию по команде от управляющего сервера. Кроме того, к инструментам группы добавлен троян для атаки через банкоматы xfs-disp.exe. Предположительно именно он использовался в «ИТ Банке».

Анализируя арсенал Silence, эксперты Group-IB обнаружили сходство между кастомным трояном Silence.Downloader и загрузчиком FlawedAmmyy.Downloader, который связывают, в том числе, с атаками хакеров ТА505. Обе программы разработаны одним человеком, который привлекался Silence для работы над загрузчиком. Русскоязычная группа ТА505 известна с 2014 года (по данным Proofpoint), ее связывают с масштабными вредоносными кампаниями и атаками на финансовые учреждения США, Объединенных Арабских Эмиратов и Сингапура. В последних кампаниях TA505 использует FlawedAmmyy, полнофункциональной RAT, позволяющий злоумышленникам получить административный контроль над зараженным устройством для мониторинга активности пользователей, профилирования системы и кражи учетных данных.

Учитывая инициированные расследования, Group-IB детально разбирают в своем отчете две известных атаки: на бангладешский банк Dutch-Bangla, из которого было выведено не менее 3 млн. долларов, и на «ИТ Банк» в России, из которого удалось похитить около 25 млн. руб.

18 января 2019 Group-IB сообщила о фишинговой рассылке Silence, в которой вредоносное вложение было замаскировано под приглашение на iFin-2019, XIX Международный Форум iFin-2019 «Электронные финансовые услуги и технологии». Установлено, что почтовые адреса сотрудников «ИТ Банка» были среди получателей этих писем. Эти письма стали точкой входа, благодаря которой Silence развил свою атаку до финального этапа. 25 февраля 2019 на VirusTotal с российского IP-адреса вручную через веб-интерфейс была загружена программа xfs-test.exe, скомпилированная 10 февраля 2019. Данная программа предназначена для отправки команд напрямую диспенсеру банкомата, в результате выполнения которых вся наличность будет выдана. Уже через два дня после компиляции в СМИ появилась информация о хищении из банкоматов «ИТ Банка».

31 мая 2019 года семеро мужчин в медицинских масках сняли наличность в банкоматах Dutch- Bangla Bank в Бангладеше. Экспертам Group-IB удалось установить, что сервер Silence начал функционировать не позднее 28 января 2019 года. Взаимодействие с IP-адресами, принадлежащими сетевой инфраструктуре банка Dutch- Bangla, начало осуществляться не позднее 16 февраля 2019 года. Заранее открытые карты банка дважды использовались мулами (лицами, привлекаемыми хакерскими группами для снятия денег в банкоматах) для нелегитимного снятия наличных. Первый раз — за пределами Бангладеша. Процесс снятия наличных мулами в Дакке был зафиксирован на видео и позже выложен на Youtube, местной полиции удалось оперативно задержать подозреваемых. Ими оказались шестеро граждан Украины. Одному 31-летнему подозреваемому удалось сбежать. В отчете Group-IB рассматриваются два вектора атаки на Dutch- Bangla Bank: через банкоматы и через карточный процессинг. В любом из вариантов развития событий количество снятий, а также объем хищения может быть намного большим.