Целый ряд российских банков накануне подвергся целевой атаке хакеров, разославших вредоносные письма на почтовые адреса сотрудников финансовых учреждений, сообщает РБК.
Как отмечает в своем блоге главный эксперт по безопасности "Лаборатории Касперского" Александр Гостев, произошедшая атака заслуживает отдельного внимания, поскольку злоумышленники впервые выдавали себя за FinCERT – подразделение Банка России, которое осуществляет мониторинг и реагирует на компьютерные атаки в финансовой сфере. Кроме того, FinCERT осуществляет рассылки банкам об инцидентах в сфере информационной безопасности.
"В последнее время FinCERT стал заметным игроком в области ИБ в России, особенно в свете участившихся атак на банки и все возрастающего ущерба от них. Эта известность и привлекла внимание злоумышленников, которые решили воспользоваться ею для собственной атаки", – написал Гостев.
По данным эксперта, зараженные письма были разосланы банкам с адреса [email protected], в то время как настоящим адресом организации является [email protected] (сам домен fincert.net был зарегистрирован в ночь на 15 марта). При этом поддельные письма содержали ФИО получателя и были оформлены в обычном для рассылки FinCERT стиле, а во вложении содержался документ с порядковым номером правильного образца. Эти детали указывают на тот факт, что организаторы атаки знакомы с подобными письмами, хотя рассылка FinCERT недоступна широкой публике.
Вложенный в письма документ Microsoft Word содержал макрос, а также инструкцию по его запуску. Если получатель выполнял ее, то на его компьютер загружалась программа для удаленного администрирования.
"По состоянию на утро 16 марта разосланный злоумышленниками вредоносный файл был загружен на сервис VirusTotal для проверки более 70 раз из 56 различных источников. Это может служить косвенным показателем массовой рассылки – вероятно, письма были посланы в сотни российских банков (всего их более 700)", – отметил Гостев.
Как сообщил газете "Ведомости" гендиректор Digital Security Илья Медведовский, банки достаточно быстро среагировали на инцидент и предупредили друг друга. Однако, вероятно, злоумышленники попали в системы банков, поскольку часть сотрудников, отвечающих за информационную безопасность, открыли эти письма. По словам Медведовского, о возможных потерях банков от атаки станет известно позднее, поскольку злоумышленникам нужно время, чтобы закрепиться в системе и вывести средства.