Как сообщили в «Лаборатории Касперского», накануне российские банки подверглись кибератаке со стороны хакеров, рассылавших от имени Банка России письма с вредоносным вложением на электронную почту сотрудников финансовых организаций.
Эксперты «Лаборатории Касперского» считают данный случай заслуживающим отдельного внимания, так как киберпреступники впервые действовали от имени FinCERT, проекта Банка России, призванного проводить мониторинг и противодействовать кибератакам на финансовые учреждения. Сотрудники проекта рассылают банкам сообщения, содержащие информацию относительно инцидентов информационной безопасности.
Как сообщают в «Лаборатории Касперского», хакерам в ночь с 14 на 15 марта удалось зарегистрировать два доменных имени, после чего были созданы модули для заражения систем и начата подготовка к рассылке писем. Киберпреступники днем 15 марта начали отправку писем с вредоносным вложением. Хакеры осуществляли рассылку с адреса info@fincert.net. Настоящий адрес сервиса Центрального Банка России – fincert@cbr.ru.
Рассылка писем велась не по общему списку. Злоумышленники знали, кто будет адресатом, поэтому они добавляли в тексты обращения к получателям по фамилии, имени и отчеству. Экспертами «Лаборатории Касперского» была осуществлена проверка ряда адресов получателей с использованием поисковых систем, в результате которой обнаружить данные адреса в свободном доступе не удалось. Таким образом, киберпреступники пользовались какой-то специальной базой, которая, вероятно, была составлена из служебной документации банков или материалов отраслевых конференций.
Эксперты подчеркивают, что хакеры хорошо информированы о рассылках FinCERT, являющихся относительно закрытыми и недоступными для широкой общественности, свидетельством чего является совпадение цифрового кода в имени вложенного файла с номенклатурой уведомлений о кибератаках, которую использует настоящий FinCERT.
По словам генерального директора Digital Security Ильи Медведовского, банки оперативно отреагировали на инцидент и предупредили друг друга. Но, вполне возможно, что киберпреступники проникли в банковские системы, так как часть служащих, ответственных за информационную безопасность, открыли вредоносные письма. Финансовые потери банков от кибератаки можно будет оценить позже, поскольку хакерам необходимо время на закрепление в системе и вывод средств.