Российские банки 15 марта стали объектом очередной целевой атаки, организованной при помощи рассылки вредоносных писем на почтовые адреса сотрудников. По мнению эксперта «Лаборатории Касперского» Александра Гостева, который подробно описывает инцидент, этот случай заслуживает отдельного внимания, так как впервые атакующие выдавали себя за FinCERT — созданный в структуре Банка России около года назад специальный отдел, информирующий российские банки об угрозах информационной безопасности в финансовой сфере.

Так, в ночь с 14 на 15 марта атакующие зарегистрировали доменное имя fincert.net, воспользовавшись услугами российского регистратора reg.ru. Информация о владельце домена защищена сервисом PrivacyProtect. Помимо этого злоумышленники зарегистрировали еще одно доменное имя — view-atdmt.com, которое было им необходимо для создания сервера, также задействованного в атаке. Видно, что оба домена были созданы с разницей в несколько часов. Физически IP-адрес сервера, на котором был размещен домен, находится на хостинге в Санкт-Петербурге, указывает Гостев.

Примерно в полдень по Москве (время, по мнению эксперта, выбрано не случайно — перед обедом внимание у людей обычно снижается) атакующие начали свою рассылку. «Согласно полученным нами данным, атакующие не просто рассылали письма с вредоносным вложением по какому-то общему списку — они точно знали, кто будет получателем письма, и в каждом письме обращались к получателю по фамилии и имени-отчеству! Мы проверили ряд адресов получателей при помощи поисковых систем и не смогли найти эти адреса в свободном публичном доступе. Это значит, что атакующие использовали какую-то специальную базу, возможно, составленную из материалов отраслевых конференций или каких-то служебных документов ряда банков», — рассуждает представитель антивирусной компании. Он уточняет, что письма рассылались с адреса info@fincert.net, в то время как настоящий адрес FinCERT — fincert@cbr.ru.

По состоянию на утро 16 марта разосланный злоумышленниками вредоносный файл был загружен на сервис VirusTotal для проверки более 70 раз из 56 различных источников. По мнению экспертов, это может служить косвенным показателем массовой рассылки — вероятно, письма были отправлены в сотни российских банков (всего их более 700).

По словам Гостева, обращают на себя внимание грамматические ошибки: например, слово «компрометация» в ряде случаев ошибочно написано как «компроментация». «Но наиболее примечательная особенность — в имени файла-вложения: «20160314 — 001 — Возможная компрометация АРМ КБР. doc», — указывает он, поясняя, что цифровой код «20160314 — 001» совпадает с используемой настоящим FinCERT номенклатурой уведомлений об атаках.

«Это свидетельствует о том, что атакующие хорошо знакомы с информационными рассылками FinCERT, которые относительно закрыты и недоступны для широкой публики», — делает вывод сотрудник «Лаборатории Касперского».

Указанный вложенный файл содержит встроенный VBA-макрос, который требует от пользователя ручной активации. Текст письма — это инструкция по запуску макроса, при котором происходит попытка соединения с удаленным ресурсом для загрузки оттуда файла, представляющего собой самораспаковывающийся NSIS-архив. Гостев обращает внимание на то, что файл подписан легальной цифровой подписью московской компании «СПЕК-2000». Подпись валидна, и файл был ею подписан 15 марта — всего за несколько часов до начала рассылки. Основным видом деятельности этой компании в общедоступных базах данных значится перевозка грузов.

После загрузки файла в систему и его запуска происходит автоматическая распаковка содержащихся в нем приложений. Устанавливаемые файлы составляют набор удаленного администрирования. В «Лаборатории Касперского» указывают, что на всех этапах данной атаки единственный вредоносный элемент — это макрос в doc-файле. «И это тоже является отличительной чертой современных целевых атак: злоумышленники используют легальные инструменты, чтобы затруднить обнаружение вторжения при помощи традиционных средств защиты, работающих на основе «черных списков», — отмечает Гостев.

«Данный инцидент не является уникальным или технически сложным, но все же представляет значительный интерес, — заключает эксперт. — Атакующие впервые использовали «бренд» FinCert, для этого атака была тщательно подготовлена — было создано соответствующее доменное имя, изучены используемые FinCERT идентификаторы. Атакующие обладают базой адресов электронной почты сотрудников сотен российских банков, вместе с их именами и фамилиями».