Silence, noul grup de hackeri vorbitori de limba rusa

In septembrie 2017, cercetatorii Kaspersky Lab au identificat o noua serie de atacuri directionate impotriva a cel putin 10 organizatii financiare din mai multe regiuni, printre care Rusia, Armenia si Malaysia. In spatele loviturilor se afla un nou grup, denumit Silence, care foloseste tehnici similare cu gruparea  Carbanak. In prezent, atacurile continua.

Silence intra in galeria celor mai complexe operatiuni de jaf cibernetic, din categoria Metel, GCMAN si Carbanak, care au reusit sa fure milioane de dolari de la organizatii financiare. Majoritatea acestor operatiuni folosesc urmatoarea tehnica: obtin acces in retelele bancare interne si il mentin pe termen lung, iar cand vine momentul potrivit, folosesc ce au aflat  pentru a fura cat mai mult posibil. Exact asa se intampla cu troianul Silence, care compromite infrastructura victimei prin intermediul e-mail-urilor de phishing.

Fisierele periculoase anexate la e-mail-uri sunt destul de complexe. Odata ce victima le deschide, nu e nevoie decat de un click pentru a initia o serie de download-uri si a lansa troianul. Acesta comunica cu serverul de comanda si control, trimite ID-ul dispozitivului infectat, descarca si executa programele malware responsabile cu diverse actiuni, printre care inregistrarea ecranului, incarcarea datelor, furtul datelor de autentificare, controlul de la distanta etc.

Demn de remarcat, infractorii exploateaza infrastructura deja infectata a unor institutii financiare, trimitand e-mail-uri de pe adresele unor angajati reali catre o noua victima, impreuna cu o cerere de a deschide un cont bancar. Folosind aceasta metoda, infractorii se asigura ca destinatarul nu devine suspicios in privinta vectorului de infectare.

Atunci cand infractorii cibernetici reusesc sa patrunda in retea, incep sa o examineze. Grupul Silence poate monitoriza victima, inclusiv sa faca numeroase numeroase capturi de pe ecranul activ al dispozitivului, realizand un video stream in timp real cu toate activitatile victimei etc. Toate aceste caracteristici servesc unui singur scop: de a intelege activitatile de rutina ale victimei si a obtine suficiente informatii pentru ca, intr-un final, sa poata fura bani. Stilul de operare seamana foarte mult cu Carbanak.

Pe baza indiciilor de limbaj gasite in timpul cercetarii asupra componentelor atacului, cercetatorii Kaspersky Lab au concluzionat ca infractorii din spatele atacurilor Silence vorbesc limba rusa.

“Troianul Silence este un exemplu recent de infractori cibernetici care trec de la atacuri asupra utilizatorilor direct la atacuri asupra bancilor”, spune Sergey Lozhkin, security expert la Kaspersky Lab. “Am vazut ca aceasta tendinta a fost in crestere in ultima vreme, cand au avut loc si au si reusit tot mai multe jafuri cibernetice, executate in stilul gruparilor profesioniste APT. Lucrul cel mai ingrijorator este ca, din cauza stilului “in umbra”, aceste atacuri s-ar putea sa reuseasca indiferent de specificul structurii de securitate a fiecarei banci.”

Cercetatorii Kaspersky Lab le recomanda organizatiilor sa ia urmatoarele masuri, pentru a se proteja de posibile atacuri cibernetice:

  • Folositi o solutie specializata impotriva unor amenintari avansate, care poate detecta toate tipurile de anomalii si fisierele suspecte, pentru a recunoaste si scoate la iveala atacuri complexe – o solutie precum Kaspersky Anti Targeted Attack Platform.
  • Eliminati bresele de securitate, inclusiv cele care se refera la configurari gresite ale serverului sau erori in aplicatiile proprietare. In acest scop, serviciile Kaspersky Penetration Testing and Application Security Assessment sunt o solutie comoda si eficienta, oferind date despre vulnerabilitatile descoperite si sfatuind utilizatorii cum sa le rezolve, pentru a consolida securitatea corporativa.
  • Configurati reguli stricte de procesare a e-mail-urilor si activati solutii de securitate cu functii dedicate anti-phishing, anti-anexe malware si anti-spam – de exemplu, filtrarea anti-phishing in cloud si filtrarea mesajelor in Kaspersky Endpoint Security.

Detalii despre troianul Silence si indicatorii de compromitere pot fi gasite pe Securelist.com: https://securelist.com/the-silence/83009/.

Informatii suplimentare despre troianul Silence sunt disponibile pentru clientii serviciului Kaspersky Intelligence Reporting, la intelreports@kaspersky.com.

Submit your comment

Please enter your name

Your name is required

Please enter a valid email address

An email address is required

Please enter your message

*

ITChannel © 2018 All Rights Reserved

Designed by Iustin Vadana