Silence (группа хакеров)

У этого термина существуют и другие значения, см. Silence.

Silencе — группа русскоязычных хакеров. В основном атакует финансовые организации с помощью фишинговых писем с вредоносными файлами^[1]. На 2021 год личности участников неизвестны. Группа получила имя по названию собственного инструмента Silence.Downloader, который использовала для компрометации систем.

С 2016 по 2019 год злоумышленники похитили минимум $4,2 млн (272 млн рублей)^[2]. Хакеры заразили системы более чем в 30 государствах мира в Азии, Европе и СНГ^[3][4].

История

Идентифицированные атаки

2016

Первая зафиксированная атака произошла в августе 2016 года. Злоумышленники пытались взломать систему российских межбанковских переводов АРМ КБР. Киберпреступники обошли защиту и попытались вывести деньги. Однако из-за неправильно подготовленного платёжного поручения операцию заметили и остановили^[5].

Через месяц атака повторилась. Злоумышленники восстановили доступ к серверам и загрузили программу для скрытого создания скриншотов экрана пользователя и начали изучать работу операторов по псевдовидеопотоку, что позволило им отследить банковский документооборот. Атаку предотвратили. Однако восстановить полную хронологию вторжения не удалось, так как при попытке самостоятельно очистить сеть, ИТ-служба банка удалила большую часть следов активности злоумышленников^[5].

2017

В 2017 году хакеры провели несколько DDoS-атак и запустили в банковские системы вирусы-трояны. Все эти нападения были организованы в реальном времени с помощью Perl IRC бота, используя публичные IRC чаты для управления троянами^[5].

В октябре преступники установили на несколько банкоматов свою программу, которая нарушала процесс выдачи денег. За одну ночь они вывели 7 млн рублей. Идентичная атака произошла спустя полгода — в апреле 2018 года, она принесла хакерам порядка 10 миллионов^[5][6].

2018

В феврале 2018 года Silence провели атаку через процессинг банковских карт. Управляя аккаунтом сотрудника, хакеры ликвидировали лимиты на снятие средств с некоторых карт. Для вывода средств они использовали компанию-партнёра, через банкоматы которого вывели 35 млн рублей^[5][6].

В мае была зафиксирована массовая отправка писем с вредоносным вложением, которое запускало загрузчик для скачивания ПО Silence.^{[источник не указан 634 дня]}

В августе хакеры успешно атаковали банк в Индии.^{[источник не указан 634 дня]}

В октябре группа совершила фишинговую рассылку по российским банкам. Также они отправили около 10 000 тестовых писем без вредоносной нагрузки по британским финансовым компаниям с целью обновления своей базы email-адресов.^{[источник не указан 634 дня]}

В ноябре Silence провела фишинговую рассылку писем от лица Центробанка России (ЦБ РФ) с предложением ознакомиться с новым постановлением регулятора. Получателями оказались как минимум 52 банка в России и пять банков за рубежом^[7][8][9].

В этом же месяце группа организовала массовую рассылку по странам Азии для получения списка активных пользователей.

В декабре Silence рассылала письма по финансовым учреждениям от имени несуществующей фармкомпании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект^[7].

2019

В январе 2019 года Silence атаковала финансовые организации Великобритании. Письма отправлялись от имени медицинской компании. Также хакеры провели атаку на российские банки: финансовые организации получили фальшивые приглашения на форум iFin-2019. Она затронула более 80 тысяч получателей. К посланию был прикреплен ZIP-архив, внутри которого — приглашение на банковский форум и вредоносное вложение^[7].

В этом же месяце были произведены еще две фишинговые рассылки от имени начальников отделов в несуществующих банках — Банк ICA и «Банкуралпром». В письмах содержались просьбы оперативно рассмотреть вопрос об открытии обслуживании корреспондентских счетов организаций. К сообщению был прикреплён архив с договором, при распаковке которого на компьютер пользователя загружалась вредоносная программа Silence.Downloader^[7][10][11].

В январе ФинЦЕРТ сообщил о ещё ряде случаев рассылок от Silence, которые производились от имени выдуманных кредитных организаций «Урал Развитие», «Финансовая перспектива», CCR, ЮКО^[10][11].

Январская атака отличалась масштабностью. Только Сбербанк получил минимум 1,5 тысячи писем. Также о получении рассылки сообщали Газпромбанк, Райффайзенбанк и Московский кредитный банк^[10][11].

В январе хакеры успешно атаковали банк в Индии и омский «ИТ Банк». Во втором случае сумму хищения оценивают в 25 млн рублей^[2]. Точкой входа стали письма с приглашением на форум iFin-2019^[12].

В мае злоумышленники совершили рассылку от имени клиента банка с просьбой заблокировать карту. В атаке впервые был применен Invoke бэкдор — полностью бесфайловый троян. В этом же месяце был атакован банк в Киргизии^[2].

31 мая — банк Dutch-Bangla в Бангладеше. Злоумышленники украли около $3 млн, которые сняли семеро денежных мулов, шесть из которых были пойманы^[2].

В июне Silence сконфигурировали новый сервер. В этом же месяце хакеры провели серию атак на российские банки^[2].

В июле группа успешно атаковала банки в Чили, Болгарии, Коста-Рике и Гане. Атаки производились с сервера, поднятого в июне^[2].

В период с мая 2018 года по август 2019-го хакеры отправили более 170 тысяч писем для актуализации базы будущих целей^[12].

2020

В марте 2020 года Silence взяла на себя ответственность за рассылку угроз о DDoS-атаках австралийским финансовым учреждениям^[13].

География атак

На май 2018 года успешные атаки Silence ограничивались странами СНГ и Восточной Европой, а основные цели находились в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане. Однако единичные фишинговые письма отправлялись также сотрудникам банков в более чем 25 странах Центральной и Западной Европы, Африки и Азии: Киргизия, Армения, Грузия, Сербия, Германия, Латвия, Чехия, Румыния, Кения, Израиль, Кипр, Греция, Турция, Тайвань, Малайзия, Швейцария, Вьетнам, Австрия, Узбекистан, Великобритания, Гонконг и другие.

В 2019 году география атак Silence стала самой обширной за все время существования группы, хакерами были заражены рабочие станции более чем в 30 государствах мира в Азии, Европе и СНГ^[2].

В начале 2020 года специалисты профильных компаний предоставили различные мнения относительно географии атак группы. «Лаборатория Касперского» отметила всплеск активности Silence в странах Африки^[14][13]. Группа сфокусировалась на целях в Азии, Африке, Европе и Америке. При этом, по данным Positive Technologies, Silence не усиливала активность в этот период и атаки за пределами России и стран СНГ для них нехарактерны^[3][1].

Известные сведения

Выяснилось, что при работе хакеры используют кириллическую клавиатуру. Троян их авторства состоит из команд, составленных из английских буквосочетаний, к примеру, htcnfhn и htrjyytrn. За этим набором символов скрываются слова «рестарт» и «реконнект», записанные в другой раскладке. Серверы для своих нужд хакеры также арендуют в основном в России и на Украине^[5].

Костяк группировки состоит всего из двух человек — разработчика и оператора^[15]. Разработчик имеет навыки высококвалифицированного реверc-инженера. Он разрабатывает инструменты для проведения атак, модифицирует сложные эксплойты и программы. Однако при разработке допускает немало ошибок: это характерно для вирусного аналитика или реверс-инженера. Второй член команды — оператор, он хорошо знаком с проведением тестов на проникновение, что позволяет ему ориентироваться внутри банковской инфраструктуры. Именно он использует разработанные инструменты для получения доступа к защищенным системам внутри банка и запускает процесс хищений^[5].

В 2019 году обнаружено сходство между Silence.Downloader и загрузчиком FlawedAmmyy.Downloader, который связывают с атаками хакеров ТА505. Обе программы разработаны одним человеком^[12].

Тактика

При захвате банковской системы основной тактикой хакеров стал фишинг^[5]. Вначале для рассылок группа использовала взломанные серверы и скомпрометированные учетные записи. Позже преступники начали регистрировать фишинговые домены, для которых создавали самоподписанные сертификаты^[15][16].

Мошенники пользуются как известными почтовыми сервисами (att.net, mail.com), так и регистрируют новые домены, повторяющие с небольшими изменениями банковские адреса. Иногда инструментом в руках преступников становятся и взломанные серверы^[5][16].

Для осуществления фишинговых рассылок хакеры арендуют серверы в России и Нидерландах. Silence также используют услуги хостера с Украины для аренды серверов под командные центры. Несколько серверов было арендовано в MaxiDed, инфраструктура которого была заблокирована Европолом в мае 2018 года^[5][16].

Злоумышленники используют DKIM и SPF для обхода системы фильтрации писем. Они отправляют сообщения от имени банков, у которых не настроен SPF, с арендованных серверов с изменёнными заголовками. Письма отправлялись от имени сотрудников банка с полными грамотными текстами, что позволяло повысить шанс успешности атаки^[16].

После открытия прикреплённого к письму файла запускался самостоятельный загрузчик программной платформы Silence. При этом ПО анализирует, насколько захватываемый сервер может быть полезен в атаке. В случае чего, бот, запускающий заражение трояном, бесследно самоудалится^[5][16].

Если вирус нашёл свое поле деятельности, он встраивается в систему — регистрируется и включается в работу на сервере. Помимо этого, на инфицированную машину подгружается бот-модуль, который передает вредный трафик от хакеров в сеть, к которой подключен захваченный компьютер. В итоге злоумышленники встраиваются в сеть: программы превращают их работу в автоматический процесс^[5][16].

При этом компьютеры тех, кто открывает вредоносные вложения, хакеры пытаются заразить сразу несколькими модулями «трояна». Один из них, например, делает скриншоты экрана зараженного компьютера. Вирусы используют администраторские инструменты, изучают внутреннюю инфраструктуру банков, после чего злоумышленники крадут деньги (в том числе через банкоматы). В среднем, во время атак хакеры пытаются вывести около $1 млн^[1].

Инструменты

В первых атаках Silence использовала заимствованный бэкдор Kikothac и патчила его^[16].

Позже хакерами был создан уникальный набор инструментов для атак на карточный процессинг и банкоматы, который включает в себя как заимствованные, так и самописные программы^[5].

Самостоятельно хакеры создали: Silence — фреймворк для атак на инфраструктуру, Atmosphere — набор программ для атак на банкоматы, Farse — утилита для получения паролей с зараженного компьютера и Cleaner — инструмент для удаления логов удаленного подключения^[5][16].

В 2017 году в попытке взломать системы зарубежных банков хакеры использовали программу Smoke Bot, которая известна в даркнете еще с начала 2010-х и используется для первичного заражения. После чего включили её в свой арсенал на постоянной основе. Тогда же в фишинговых атаках хакеры применили эксплоит, который, предположительно, использует группировка Fancy Bear (она же APT28 и Pawn Storm)^[5][16].

Для осуществления DDoS-атак хакеры используют модифицированный Perl IRC DDoS bot, основанный на Undernet DDoS bot^[5][16].

С 2019 года Silence улучшила свою операционную безопасность и изменила набор инструментов, чтобы предотвратить обнаружение^[17].

Они переписали команды для ботов, а также программы Silence.Downloader и Silence.Main. Также группа начала использовать безфайловый загрузчик на основе PowerShell под названием Ivoke. Для бокового перемещения в сети жертвы — Powershell агент EmpireDNSAgent (EDA), основанный на проектах Empire и dnscat2^[17].

Примечания

1. «Касперский» зафиксировал всплеск атак русских хакеров на банки в Африке  (рус.). rbc.ru. Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
2. Ущерб банкам от русскоязычных хакеров Silence составил $4,2 млн за три года  (неопр.). ТАСС. Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
3. Хакерская группировка Silence может стоять за атакой на банки Африки  (рус.). Ведомости. Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
4. Ущерб от русскоязычных хакеров Silence превысил 270 млн рублей  (рус.). NEWS.ru. Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
5. Гони деньги и молчи Два русских хакера воруют у российских банков миллионы. На очереди весь мир  (неопр.). lenta.ru. Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
6. Эксперты оценили ущерб от атаки хакеров Silence на российские банки  (рус.). РИА Новости (5 сентября 2018). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
7. Хакеры пригласили на финансовый форум  (рус.). kommersant.ru (18 января 2019). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
8. Эксперты зафиксировали атаку хакерской группы Silence на российские банки от лица ЦБ  (неопр.). ТАСС. Дата обращения: 19 ноября 2021. Архивировано 29 июля 2021 года.
9. Сразу две хакерские группы атаковали российские банки от имени Центробанка (рус.). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
10. Хакеров не обошли молчанием  (рус.). kommersant.ru (21 января 2019). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
11. ЦБ дал рекомендации банкам по противодействию рассылке хакеров Silence  (рус.). РИА Новости (18 января 2019). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
12. PLUSworld ru-банковская розница, финансовое обслуживание и платежный рынок. Group-IB: ущерб от атак хакерской группы Silence приблизился к 300 млн руб. » (рус.). Plusworld.ru: финтех, банковская розница, финансовое обслуживание и платежный рынок (21 августа 2019). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
13. CISOMAG. Silence Hacking Crew Threatens of a DDoS Attack Against Australian Banks (амер. англ.). CISO MAG | Cyber Security Magazine (4 марта 2020). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
14. Kaspersky: Российские хакеры Silence активно атакуют банки в Африке  (рус.). Anti-Malware.ru (13 января 2020). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
15. За Silence стоят русскоязычные хакеры  (рус.). ib-bank.ru. Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
16. Русскоязычная группировка Silence атакует банки и состоит всего из двух человек (рус.). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
17. Silence Advanced Hackers Attack Banks All Over the World (амер. англ.). BleepingComputer. Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.