بانک های روسی تحت تاثیر حملات کلاهبرداری

بانک های روسی اعلام کردند که هدف یک کمپین کلاهبرداری عظیم بودند که قصد داشتند ابزاری را توسط گروه silence هکران منتشر کنند. این گروه دستی در فعالیت های infosec و دسترسی به اسناد مرتبط با بخش های مالی دارد.

این ایمیل های شیادانه و دروغین  ادعا داشتند که از سوی بانک مرکزی روسیه هستند و حاوی ضمیمه های آلوده بوند. محتوای پیغام دریافت کننده را اغوا میکند تا فایل ضمیمه را باز کنند تا آخرین جزییات مربوط به استاندارد سازی های فرمت ارتباطات الکتریکی CBR را بررسی کنند.

مکانیزم دسترسی های ایمیل وقایع را شرح میدهد

سازمان بین المللی مبارزه با جرایم رایانه ای این حمله را بررسی کردند و متوجه شدند که استایل و فرمت ارتباطات جعلی بسیار مشابه مکاتبات رسمی بانک مرکزی روسیه بوده است. این اتفاق تئوری مربوط به اینکه مهاجمین دسترسی های سطح بالا به ایمیل های CBR داشتند را تایید میکند.

طی یک گزارش منتشر شده این گروه میگوید که مهاجمین آدرس ایمیل ارسال کننده را جعل کردند ولی پیام ها از سد راه DKIM که یک فیلتر قوی میباشد عبور نکردند. این فیلتر و راهکار امنیتی ابزاریست تا اعتبار و اجازه ی ایمیل های جعلی را بررسی کند.

بانک ها شاهد حملات کلاهبرداری از گروه های دیگر هستند

هکران خاموش تنها کسانی نیستند که سعی بر حملات کلاهبرداری به بانک ها دارند. در 23 اکتبر، یک گروه بدنام دیگر به نام Moneytaker یک کمپین مشابه را علیه همچین هدف هایی داشتند.

آنان یک آدرس ایمیل از بخش مالی یک کمپانی را جعل کرده بودند که پیام آن حاوی 5 فایل ضمیمه از سوی بانک مرکزی بودند که در قالب اسناد مهمی آورده شده بود.

طبق گفته ی مسئول دپارتمان تحلیل و آنالیز بد افزار و متخصص حملات تهدید آمیز میگوید: " سه تا فایل از پنج فایل اسنادی خالی بودند ولی دو فایل حاوی یک ابزار به نام meterpreter stager هستند. برای آنکه روند پیشروی حمله تسهیل پیدا کند، هکران از گواهی self-signed ssl استفاده میکنند."

گروه Silence و Moneytaker خطرناک ترین تهدیدات برای بانک ها هستند

طبق اظهارات Group-IB ، گروه های زیادی هستند که از بانک مرکزی روسیه در حملات کلاهبرداری خود استفاده میکنند و بنا به دلایلی، از آنجایی که سازمان قواعدی را به موسسه های مالی در کشور ابلاغ میکند و ارتباطی استوار را با آنان دارد.

میرکاسیمو مسئول دپارتمان تحلیل حملات میگوید که گروه های Silence و Moneytaker خطرناک ترین گروه هایی هستند که سازمان های مالی را تهدید کردند. با توجه به وقایع اخیر، این متخصص میگوید که آنان خملات درایوری را شامل کردند و شبکه را برای آسیب پذیری ها تست کردند. هدف از اینکار دسترسی به نود های داخلی است که این افراد را قادر میسازد از دستگاه های ATM پول برداشت کنند.

با وجود اینکه Silence معمولا از متد های کلاهبرداری استفاده میکند. ولی در ساخت محتوای پیام های کلاهبرداری خود بسیار حرفه ای عمل میکنند و عنوان و پیغام اصلی را بسیار حرفه ای طراحی میکنند.

منبع: https://www.bleepingcomputer.com