Атака FakeCERT: Здравствуйте, мы из Центробанка

Очередные хакеры атаковали очередные банки. Подумаешь! Такое случается сплошь и рядом, особенно в сравнительно мелких (десятки миллионов рублей) масштабах. В общем-то, действительно ничего примечательного, если не считать того, что в этот раз атака была проведена с помощью рассылки писем от имени Центробанка Российской Федерации!

Под покровом ночи с 14 на 15 марта злоумышленники при помощи доменного регистратора REG.ru зарегистрировали парочку доменов. Из них особый интерес представляет один — fincert.net. Вообще, FinCERT — это отдел Центробанка, который занимается как раз тем, что информирует банки об инцидентах и угрозах в сфере информационной безопасности.

Создан FinCERT чуть больше полугода назад, а поскольку атаки на банки за это время ощутимо набрали обороты, этот отдел приобрел некоторый уровень известности и публичности. Очевидно, сведения о нем дошли и до тех, от кого он защищает, — до кибермошенников. И последние решили, что действовать от имени FinCERT — интересная идея.

В районе 12 часов дня 15 марта с адреса info@fincert.net злоумышленники разослали письма банковским сотрудникам. Полдень — это такое удобное время, когда мысли многих сотрудников в основном крутятся вокруг предстоящего обеда. Поэтому они могут не очень внимательно смотреть на адрес отправителя сообщения и не заметить, что вместо настоящего адреса, с которого FinCERT присылает письма (fincert@cbr.ru), письмо пришло совсем с другого.

Интересно, что злоумышленники точно знали имена и фамилии тех людей, которым пишут, — видимо, куда-то утекла либо база данных посетителей какой-нибудь банковской конференции, либо пачка каких-нибудь служебных документов ряда банков со списком сотрудников. Похоже, что письма были разосланы в сотни российских банков. По крайней мере, на virustotal.com вредоносное вложение из них было загружено более 70 раз.

Вежливо назвав получателя по имени и отчеству, злоумышленники предлагали ему скачать DOC-файл из вложения к письму, в котором якобы находится «важная информация касательно компрометации банковских систем». На самом же деле в файле находилась инструкция для запуска встроенного в него же макроса, исполнение которого как раз и приводило к компрометации банковских систем.

Примечательно еще и то, что в названии файла-вложения использован цифровой код «20160314 — 001» — именно такой код использует настоящая организация FinCERT для уведомлений об атаках. Мошенники явно подготовились.

Российские банкиры предложили считать фишинг уголовным преступлением и наказывать за него десяточкой: http://t.co/bmwx7Ax7PG

— Kaspersky Lab (@Kaspersky_ru) November 20, 2014

Однако, несмотря на всю свою внимательность и вежливость, злоумышленники явно недоучились в школе. В приведенном примере письма они только один раз из трех смогли правильно написать слово «компрометация» — в оставшихся двух всплывала явно лишняя буква «н» (от слова «мент», что ли?). И это тоже могло выдать поддельную природу письма его получателю, будь он достаточно внимательным.

После того как невнимательный получатель открывал DOC-файл и запускал макрос, который, между прочим, требовал отдельного разрешения на запуск, на его компьютер скачивался файл fincert.cab, подписанный легальным цифровым сертификатом московской транспортной компании «Спек-2000».

Эксперт GReAT Александр Гостев комментирует это так: «Остается загадкой, для чего, кем и как компании — перевозчику грузов был выдан цифровой сертификат для подписи исполняемых файлов. Впрочем, в ситуациях, когда сертификат выдан CA COMODO, такие вопросы выглядят риторическими. Как сертификат попал в руки хакеров — неизвестно».

Про Carbanak и кражу $1 млрд.: вариант "попроще" — http://t.co/b0MPd3q3Et, вариант "с грязными подробностями" — https://t.co/hdaxRGt1bc

— Kaspersky Lab (@Kaspersky_ru) February 16, 2015

Собственно, из-за наличия настоящей цифровой подписи файл fincert.cab не вызывает подозрений. После его загрузки он автоматически распаковывается и устанавливает на компьютер вполне легальный набор ПО на базе программы удаленного администрирования LiteManager 3.4. После чего программа, во-первых, прописывается в реестре для автоматического запуска при каждой загрузке компьютера, а во-вторых, скрывается от глаз пользователя при помощи специального ключа в реестре.

Вредоносным из всего этого является только собственно макрос в документе. И такое случается уже не в первый раз: в последнее время злоумышленники нередко используют вполне легальное ПО для удаленного доступа в своих недобрых целях.

Получив возможность удаленно управлять компьютером в банковской сети, злоумышленники могли делать, в общем-то, все что угодно. Вы знаете, что может случиться, на примере других атак на финансовые организации — Carbanak, Metel, GCMAN и так далее.

Ограбление банка и не только: Metel, GCMan и Carbanak 2,0: https://t.co/FEXo9dC47v pic.twitter.com/gvEiEVw1NE

— Kaspersky Lab (@Kaspersky_ru) February 25, 2016

Больше всего в этой истории примечательны три момента. Во-первых, злоумышленники оказались достаточно наглыми для того, чтобы догадаться использовать имя FinCERT — организации, которая, в общем-то, как раз с ними и борется, — для того, чтобы заражать банковские компьютеры.

Во-вторых, они хорошо подготовились: база данных банковских работников, убедительное доменное имя, удачный выбор времени рассылки, легитимная цифровая подпись скачиваемого файла — все это значительно повысило шансы на успех атаки.

В-третьих, как уже было отмечено, преступники используют в своих целях легитимное ПО: единственным вредоносным объектом в данной атаке был макрос, загружавший легальную программу удаленного доступа. Поэтому бороться с подобными атаками с помощью традиционных инструментов достаточно проблематично, для этого нужны новые платформы, такие как Kaspersky Anti Targeted Attack Platform.

Подробнее об этой атаке вы можете прочитать в нашем исследовании на Securelist.