Хакеры от имени Metro и «Магнита» устроили атаку с помощью «умных» вещей

Фото: SeongJoon Cho / Bloomberg

Неизвестные атаковали более 50 крупных российских компаний, выдавая себя за представителей известных брендов, в том числе розничных сетей, строительных и нефтяных компаний, рассказал РБК представитель «Ростелеком-Solar» (специализируется на вопросах кибербезопасности), отметив, что активность злоумышленников пришлась на февраль 2019 года. Факт атаки РБК подтвердили представители Group-IB и Positive Technologies.

Злоумышленники атакуют с помощью писем с вредоносным содержанием (фишинг), которые приходят по будням в рабочие часы, пояснил РБК Владимир Дрюков, директор Центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Solar». Цель хакеров — заражение инфраструктуры шифровальщиком Shade/Troldesh: программа кодирует файлы на устройстве пользователя и требует у него плату за доступ к ним.

В особенностях хакерской атаки нового типа разбирался РБК.

Слишком высокая активность атаки

«Мы видим эту атаку почти на всех наших клиентов — это около 50 крупнейших компаний России из самых разных отраслей. Их сотрудники получают по 10–50 писем в день в зависимости от размера организации и количества электронных ящиков корпоративной почты», — отметил Дрюков. Обычно частота подобных фишинг-рассылок примерно в три-пять раз ниже. Эксперты Group-IB фиксировали до 2 тыс. рассылок в день. «Рассылки массовые, нецелевые, то есть не специализированы под какую-либо конкретную отрасль, тип организаций или получателя», — добавил директор экспертного центра безопаcности Positive Technologies Алексей Новиков.

Какие именно компании получали фишинговые письма и размер нанесенного злоумышленниками ущерба, собеседники РБК не раскрывают.

Хакеры используют нетипичные способы прикрытия

Как отмечает представитель «Ростелеком-Solar», киберпреступники направляли письма с вредоносным ПО, в частности, от имени «Ашана», «Магнита», «Славнефти» и ГК «ПИК». «В большинстве случаев используются именно эти бренды, что характерно для фишинга, не таргетированного на конкретную отрасль. Пытаются сделать атаку как можно более массовой и увеличить охват», — пояснил Владимир Дрюков.

Источник на рынке кибербезопасности отметил, что список скомпрометированных компаний шире. Атаки, по его словам, начались еще в ноябре 2018-го, но их пик пришелся на февраль. «Первым, кем на этот раз прикинулся шифровальщик, стал Газпромбанк, рассылки шли якобы от менеджеров этого банка. Спустя две недели злоумышленники «переоделись» в менеджеров банка «Открытие», в декабре — Бинбанка», — сообщил собеседник РБК. В феврале смена брендов продолжилась — использовались варианты прикрытия писем от ГК «Дикси», Metro Cash & Carry и Philip Morris. «Естественно, все эти компании никакого отношения не имеют к рассылке», — добавил он.

Скомпрометированные этой атакой бренды знают о проблеме. «Действительно, некоторое время назад мы получили большое количество жалоб от наших деловых партнеров на подозрительные электронные письма, которые приходили якобы от нашей компании, — сообщил РБК представитель ГК «Дикси». — Контрагентам и партнерам компании были направлены информационные письма с просьбой внимательно проверять входящую электронную корреспонденцию». По словам источника в «Славнефти», последняя хакерская атака была около двух недель назад.

Фото: Александр Земляниченко / Bloomberg

Сам по себе фишинг не является экзотическим способом атаки, отмечает один из собеседников РБК на рынке кибербезопасности. Но массовую маскировку под бренды популярных розничных сетей специалисты фиксируют впервые. «Кроме того, в письмах очень точно скопирован стиль компаний. Обычно фишинговые письма легко вычислить, так как в них много орфографических и грамматических ошибок. Но в этот раз хакеры устроили качественную атаку», — констатирует он.

«Фишинговые письма используются в среднем в каждой третьей атаке. По статистике, по ссылкам, содержащимся в фишинговых письмах, переходят до 27% получателей, а если письмо приходит якобы от имени реальной компании или человека, то вероятность успеха для взломщиков возрастает до 33% в среднем», — пояснил Алексей Новиков из Positive Technologies.

По данным Group-IB, с середины 2017 года до середины 2018-го в России фиксировалось в среднем 108 фишинговых атак в день, за счет которых удалось похитить 251 млн руб., что на 6% больше, чем за аналогичный период годом ранее.

Первое массовое использование в атаке «умных» устройств

Особенность новой волны атак — использование «умных» устройств, например, роутеров, расположенных в странах Азии, Латинской Америки, Европы, в том числе и в России, отмечают специалисты «Ростелеком-Solar». Раньше для таких целей злоумышленники использовали обычные серверы. ​«Обычно устройства интернета вещей (IoT — internet of things. — РБК) используются для DDoS-атак (отправки множества запросов, с которыми не справится сервер. — РБК). Рассылка фишинговых писем с роутеров — пока экзотика. Как мы видим, письма рассылаются с устройств, учетные записи которых имеют слабый пароль», — отметил Владимир Дрюков.

По его словам, отследить взломанное сетевое устройство, с которого произведена атака, намного сложнее, чем сервер.

Алексей Новиков экзотикой такой случай не считает, хотя и называет случившуюся волну атак показательной. «Атака с использованием взломанных IoT-устройств менее трудозатратна, менее сложна и более безопасна для злоумышленника. Найти и использовать незащищенные устройства проще и выгоднее: если арендуется облачный сервис, он может быть внесен в специальный стоп-лист IP-адресов, с которых идут спамерские рассылки. В случае с IoT таких адресов миллионы, они быстро меняются, и вести какой-либо их реестр исключительно сложно», — говорит специалист. По его словам, фишинг может осуществляться с любого устройства, которое способно делать рассылку почты. А это пользовательские модемы, роутеры, сетевые хранилища, экосистемы «умных» домов.

Консультант по информационной безопасности ГК InfoWatch Ирина Казакова считает, что с развитием «умных» устройств количество хакерских атак с их помощью будет расти. «Использование стандартных настроек позволяет по протоколу SSH получить удаленный доступ к уязвимому устройству и вовлечь его в огромные ботнеты, которые служат для проведения DDoS-атак и массовой рассылки спама посредством соединения захваченных устройств с почтовыми серверами», — отмечает она.

Заместитель руководителя CERT-GIB, центра реагирования на инциденты информационной безопасности Group-IB, Ярослав Каргалев отметил, что использование интернета вещей в преступных целях уже имеет свои последствия — например, на протяжении 2017–2018 годов фиксировались небывалые ранее по мощности DDoS-атаки, которые генерировались такими зараженными «умными» устройствами.

В ноябре 2016 года несколько крупных российских банков, включая Сбербанк, банк «Открытие» и Альфа-банк, подверглись необычной хакерской атаке. Позже ЦБ официально подтвердил, что эта ​DDoS-атака была совершена с помощью устройств, относящихся к интернету вещей. Это был первый официально признанный случай в России, когда в преступных целях могли использоваться «умный» холодильник, smart-TV или охранная система входной двери.​