Cobalt (хакерская группа)

Cobalt (Cobalt Gang, Cobalt Spider^[1]) — группа хакеров, активная с 2016 года. Их основной целью являются компании кредитно-финансового сектора^[1][2]. В 2018 году задержали одного из лидеров группировки, однако атаки продолжились^[3].Cobalt получила свое название по имени общедоступного программного обеспечения, которое они использовали для взлома систем — Cobalt Strike. Это лицензионная программа для тестирования информационных систем на проникновение, производимая американской компанией Strategic Cyber, LLC^[2][4]. Существует мнение, что некоторые ее участники были членами другой хакерской группы Anunak/Carbanak^[2][1]. Также некоторые источники утверждают, что Cobalt и Anunak — это одна и та же группировка^[5][3][6].

По сообщению Европола, на 2018 год хакеры похитили около 1 млрд евро у 100 банков в 40 странах мира, в том числе в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване, Малайзии^[3].

Morphisec Labs считает, что группа Cobalt раскололась после ареста её руководителя на две: Cobalt Gang 1.0 и Cobalt 2.0^[7].

История

Первый зафиксированный инцидент произошёл в 2016 году. Хакеры атаковали банкоматы First Bank на Тайване. Им удалось похитить $2,18 млн.

В сентябре 2016 Cobalt получили доступ к банку в Казахстане. К атаке хакеры готовились 2 месяца. В ноябре через карточный процессинг они похитили около 600 тысяч долларов.

С этого момента процессинг стал основной целью группировки в банках разных стран. С его помощью хищения можно было совершать быстрее и безопаснее, что было важным для хакеров после задержаний людей, обналичивавших похищенные средства, в Тайване, Румынии и России.

На сентябрь 2016 года хакеры атаковали банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии.

В 2017 году пытались похитить деньги у одного небольшого банка через карточный процессинг, но неудачно. После чего они впервые в своей деятельности использовали собственную модификацию «PetrWrap» вируса-шифровальщика Petya. В результате они вывели сеть банка из строя.

С января по июнь 2017 года хакеры атаковали банкоматы в центре Мадрида, сумма ущерба составила 0,5 млн евро^[5].

В феврале 2017 года был зафиксирован успешный взлом системного интегратора, который Cobalt использовал как «посредника» для проведения атак на компании в России, Казахстане, Молдавии, а также их представительства в других странах. В течение последующих 9 месяцев они получили доступ минимум в 4 аналогичных компаниях: по одной в Украине и США, двум компаниям в России.

В сентябре 2017 года группировка провела атаку на компанию-разработчика электронных кошельков, похитив деньги через платежный шлюз. В этом инциденте впервые обнаружены явные следы группы Anunak/Carbanak.

В конце 2017 года впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT).

По словам зампреда ЦБ РФ Дмитрия Скобелкина, за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, успешными оказалось всего 11 атак. При этом восемь из одиннадцати пострадавших организаций являлись участниками информационного обмена с ФинЦЕРТом^[8][5].

ФинЦЕРТ оценил ущерб кредитным организациям от атак группы в 2017 году в 1,156 млрд рублей^[8].

В марте хакеры совершили несколько рассылок от имени американских компаний, например, IBM, Verifon, Spamhaus.

26 марта 2018 года Европол сообщил об аресте в испанском городе Аликанте лидера группы. Однако это не остановило саму группировку. Задержанным оказался гражданин Украины «Денис К.»^[5].

3 апреля были отправлены рассылки со скомпрометированной почтового сервера шведской компании.

В августе Proofpoint зафиксировали рассылки от имени «Interkassa», Единой зоны платежей в евро (SEPA) и «Альфа-банка» с вредоносными вложениями, которые в конечном итоге запускали CobInt (программу которую используют Cobalt). В сентябре аналогичные рассылки были сделаны от имени «Райффайзенбанка»^[9].

В октябре 2018 хакеры атаковали банк «Юнистрим». Заражение банка было произведено через сделанную от имени крупного банка фишинговую рассылку. По информации источников «Ъ», они вывели средства через платежные системы. Однако банк отрицает это^[10].

В ноябре хакеры произвели фишинговую рассылку от имени «Юнистрим», при этом адрес отправителя являлся легальным почтовым адресом банка^[10].

Тактика и инструменты

2016

В качестве первичного вектора компрометации группа использовала точечную рассылку писем с вредоносными вложениями — документами с эксплоитами и архивами с исполняемыми файлами.

В своем отчете Group-IB отмечают, что письма рассылались от лица Европейского центрального банка^[11], производителя банкоматов Wincor Nixdorf или от имени региональных банков. При этом хакеры использовали российские сервера с ПО, которое меняло адрес отправителя на официальные домены организаций.

В июне 2016 года злоумышленники использовали виртуальные сервера с установленной системой анонимной рассылки писем «йаПосылалка v.2.0»/«alexusMailer v.2.0».

После открытия вредоносного вложения, вшитые в него программы искали уязвимость, и в случае успеха, в оперативную память загружалась полезная нагрузка Beacon, которая входила в легитимное ПО для тестов на проникновение Cobalt Strike. При этом срабатывал специальный модуль программы, который заменял некоторые приложения, прописанные в автозагрузке, на свой исполняемый файл с таким же именем.

Таким образом, при запуске системы вместо легальных программ запускались вредоносные приложения, которые скачивали из интернета в оперативную память Beacon. После каждой перезагрузки основной модуль удалялся.

Для компрометации доменных и локальных учётных записей использовались утилита Mimikatz или ошибки конфигурации доменов. После чего они инициировали выдачу наличных денег через банкоматы с помощью специальной программы. По команде из внутренней сети она запускала выдачу купюр до полного опустошения кассет.

Group-IB отмечают, что техники и методы доставки фишинговых писем и получения управления над доменами, которые использовала Cobalt, идентичны тем, что использовала хакерская группировка Buhtrap.

После каждой успешной операции по обналичиванию программа записывала специальный лог с информацией о количестве банкнот, выданных из каждой кассеты. Оператор передавал данные организатору атаки, который использовал эту информацию для контроля цепи обналичивания.

После выдачи денег все следы программы на банкомате уничтожались с использованием легальной и бесплатной утилиты SDelete от Microsoft. Также операторы выводили из строя внутренние серверы банка, с которых осуществлялись атаки, при помощи MBRKiller, которая удаляет записи MBR.

2017

С 2017 года хакеры начали использовать новые инструменты и модифицировали старые. В том числе собственную модификацию «PetrWrap» вируса-шифровальщика Petya, новый JS-бэкдор и новый Java-загрузчик CobInt, генерируемый фреймворком CobaltStrike.

Также они изменили тактику в сторону непрямых атак. Хакеры взламывали сторонние компании, например, системных интеграторов, и через их сеть получали доступ к финансовым организациям.

В марте 2017 года хакеры начали взламывать компании, которые предоставляют электронные кошельки и терминалы оплаты. В апреле создали уникальную программу для автоматического формирования мошеннических платежей через платежные шлюзы.

В мае хакеры начали тестирование нового инструмента — библиотеки формата PE (DLL), выполнявшей роль разведывательного модуля. Однако они им так и не воспользовались.

JS-бэкдор должен был выполнять роль развед-модуля, мешая обнаружить хакеров. Программа использовалась в атаках на компании в странах Восточной Европы и англоговорящие компании. Впервые хакеры воспользовались им при атаках через компрометацию серверов американского интегратора с высоким качеством составления фишинговых писем и приложением реальных отчетов из системы SWIFT.

В сентябре Cobalt функционал JS-бэкдора был использован в исполняемом файле InfoStealer, но без возможности загрузки и запуска других программ. Программу применяли в атаках на СМИ, разработчиков ПО, страховые компании, чтобы потом воспользоваться их инфраструктурой для атак на банки.

В декабре хакеры добавили в свой арсенал новый Java-загрузчик, генерируемый фреймворком CobaltStrike, но с уникальным payload’ом, который догружает Recon бэкдор Coblnt. Бэкдор в виде команд от сервера получает модули на исполнение.

2018

Proofpoint отмечают, что с мая 2018 года хакеры не использовали Coblnt. Однако в июле вернулись к этой программе^[9].

Morphisec Labs считает, что группа Cobalt раскололась после ареста одного из ее руководителей в Испании в марте 2018 года. Cobalt Gang 1.0 широко использует ThreadKit, а Cobalt 2.0 использует более сложные механизмы, заимствуя некоторые сетевые инфраструктуры, используемые другими хакерами, например APT28 (он же Fancy Bear) и MuddyWater^[7].

Примечания

1. Cobalt  (рус.). www.ptsecurity.com. Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
2. Cobalt  (неопр.). www.securitylab.ru. Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
3. Mastermind behind EUR 1 billion cyber bank robbery arrested in Spain (англ.). Europol. Дата обращения: 30 ноября 2021. Архивировано 6 августа 2018 года.
4. Cobalt Strikes Again, Spam Runs Target Russian Banks (амер. англ.). Trend Micro (20 ноября 2017). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
5. В Испании задержан лидер «самой успешной» хакерской группировки Carbanak  (рус.). Ведомости. Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
6. Арестован лидер хакерской группы Cobalt (она же Carbanak) (рус.). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
7. Michael Gorelik. Cobalt Group 2.0 (амер. англ.). blog.morphisec.com. Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
8. Ущерб кредитных организаций РФ от атак Cobalt Strike составил 1,2 млрд рублей  (рус.). Interfax.ru (13 февраля 2018). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
9. New modular downloaders fingerprint systems - Part 3: CobInt | Proofpoint US (англ.). Proofpoint (11 сентября 2018). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
10. «Юнистрим» взломали дважды  (рус.). www.kommersant.ru (20 ноября 2018). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
11. Vanja Svajcer. Multiple Cobalt Personality Disorder  (неопр.). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.