Затишье в сфере атак на банки закончилось — не прошло и месяца с момента, когда был обезврежен глава успешно атаковавшей кредитные организации группировки Cobalt, как появилась новая угроза. Банки стали получать рассылки с трояном, который ранее злоумышленники использовали лишь для атак на их клиентов, но после ухода группировки Cobalt переформатировали его и для атак на банки. Несмотря на то что хищений нет, ЦБ указывает на массовость атак и высокие риски.
Банки—участники информационного обмена с FinCERT (специальное подразделение ЦБ по кибербезопасности) рассказали «Ъ», что в среду получили рассылку с предупреждением о новой угрозе — рассылке фишинговых писем с вложением в виде шпионского трояна Dimnie. Причем отдельные игроки уверяют, что уже получили подобные фишинговые рассылки.
До недавнего времени главной угрозой для банков была группировка Cobalt, которая в 2017 году совершила 240 попыток атак на российские кредитные организации, из которых 11 завершились успехом. В результате группировка похитила более 1 млрд руб. Cobalt специализировалась на веерных рассылках фишинговых писем с вредоносным содержанием, выводила средства через карточный процессинг, платежную систему Банка России, SWIFT. Однако после задержания главы группировки (см. «Ъ» от 27 марта) рассылки группировки прекратились.
Но спокойствие продлилось недолго. Шпионский троян Dimnie, который ранее был угрозой для компаний, приспособили для атак на банки. «Dimnie впервые был зафиксирован еще в 2014 году,— рассказывает консультант по безопасности Cisco Алексей Лукацкий.— Но до недавнего времени в атаках на банки он не использовался». По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, данный троян нацелен в первую очередь на клиентов банков, физлиц или организации. «Конечная цель трояна Dimnie, если максимально упростить,— подмена реквизитов получателя в платежных поручениях в 1С, что в конечном счете позволяет перевести деньги на подложный счет злоумышленника»,— пояснил он.
Однако сейчас сфера применения Dimnie расширилась. В пресс-службе ЦБ пояснили «Ъ», что с использованием Dimnie могут быть реализованы разные схемы атак, в том числе и на банки. «Этот троян предоставляет различные возможности, в том числе для удаленного администрирования»,— отметили там. Получив права администратора, злоумышленники теоретически могут вывести средства из банка любым способом: через карточный процессинг, через АРМ КБР, через SWIFT.
О существовании трояна ЦБ известно как минимум с ноября 2017 года, когда эта угроза была обозначена в бюллетене FinCERT. «За последние месяцы интенсивность атак с использованием Dimnie возросла, рассылки по банкам сейчас носят массовый характер,— отметили в пресс-службе ЦБ.— При этом FinCERT не фиксировал хищений денежных средств у банков в результате атак с использованием Dimnie». Собеседник «Ъ» в правоохранительных органах подтвердил, что на сегодняшний день хищения денежных средств с использованием данного трояна не зафиксировано.
Возможности Dimnie широки, указывают эксперты. «Заражение происходит, когда пользователь открывает вредоносное вложение из письма,— говорит эксперт по техническим расследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктор Сергеев.— После запуска троян скачивает дополнительные модули и начинает собирать логины и пароли от аккаунтов жертвы в различных интернет-сервисах и установленных программах — от почты и социальных сетей до криптовалютных кошельков». По словам господина Сергеева, Dimnie имеет встроенный кейлоггер (шпионская программа, перехватывающая все набранные на клавиатуре комбинации клавиш), благодаря которому злоумышленники получают данные учетных записей жертвы в корпоративных системах.
Несмотря на то что кредитные организации пока не понесли ущерба от Dimnie, специалисты считают, что недооценивать новую угрозу не стоит. «Неизвестно, кто данным инструментом захочет воспользоваться,— рассуждает глава управления информбезопасности ОТП-банка Сергей Чернокозинский.— Сейчас злоумышленники делают первые шаги в атаках на банки, потом троян может быть доработан и может стать серьезной угрозой, полагаю, нам расслабляться не стоит».
Специалисты по информбезопасности едины во мнении, что на сегодняшний день при проявлении должной бдительности угрозу можно выявить. «Нужно иметь средства мониторинга интернет-трафика (и особенно DNS), средства защиты e-mail и решения класса EDR (Endpoint Detection and Response). Традиционные антивирусы и обычные межсетевые экраны тут не помогут»,— отметил Алексей Лукацкий.
Вероника Горячева
По сообщению сайта Коммерсантъ