Вредоносные письма, рассылаемые по банкам, якобы были отправлены из FinCERT - специального отдела в структуре ЦБ РФ, созданного для информирования об инцидентах информационной безопасности в финансовой сфере.
Массовую кибератаку пережили российские банки 15 марта, о чем стало известно лишь через сутки. Предупреждение о кибератаке разослали сами хакеры с сайта, дублирующего название структуры ЦБ, призванной предупреждать финансовые структуры о подобных явлениях. Письма отправлялись с адреса электронной почты, имеющей сходство с настоящим адресом - FinCERT. Письмо содержало инструкцию по запуску макроса, требующего ручную активацию.
- Для проведения атаки злоумышленники зарегистрировали доменное имя fincert.net, заранее собрали специальную базу контактов, а также нашли и использовали данные закрытых информационных рассылок FinCERT, - сообщил главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. - Это уже обычная практика - использовать в атаках на банки легальные инструменты, чтобы скрыть следы вторжения в систему. В данном случае легальными были все инструменты, кроме макроса. Собственно, макрос и являлся единственным вредоносным элементом на всех этапах данной атаки.
Такие письма разослали хакеры в российские банки.
Преступники подошли к делу серьезно: зарегистрировали два доменных имени, в том числе для создания сервера, создали модули для заражения систем и готовили письма для рассылки по банкам. К тому же рассылка велась не хаотично, а по базе данных, в которой содержались, в том числе, личные данные руководителей финансовых структур. По оценке специалистов, разосланный злоумышленниками вредоносный файл был загружен на сервис для проверки более 70 раз из 56 различных источников, что позволяет вычислить примерное количество получателей - более 700.
- Этот инцидент доказывает два момента: деятельность FinCERT интересна криминалу, и они нас читают внимательней, чем банки, - иронично заметил заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев.
