Хакеры атаковали сотни российских банков от имени Центробанка Статьи редакции

Неизвестные разослали в сотни российских банков письма с вредоносным файлом, замаскированные под официальные сообщения о проблемах с безопасностью от спецотдела Центробанка РФ. Об этом рассказал главный эксперт по безопасности «Лаборатории Касперского» Александр Гостев в блоге на SecureList.

Атака началась 15 марта около полудня. В ряд банков начали приходить письма по электронной почте от имени FinCERT — специального отдела в структуре Центрального банка Российской Федерации, занимающегося мониторингом и реагированием на компьютерные атаки в кредитно-финансовой сфере Банка России. По словам Гостева, хакеры впервые выдали себя за сотрудников FinCERT.

Письма отправлялись с адреса [email protected] (хотя настоящий адрес выглядит как [email protected]), домен fincert.net был зарегистрирован в ночь на 15 марта. Однако сами письма содержали ФИО получателя, были оформлены в стандартном для рассылки FinCERT стиле, а помимо этого включали документ с порядковым номером правильного образца. Всё это указывало на то, что у хакеры были знакомы с такими письмами, несмотря на относительную закрытость этой рассылки — скорее всего, у них был инсайдер в банковской сфере.

В письме говорилось о возможном взломе банковских систем, а дополнительную информацию предлагалось узнать из вложенного документа Microsoft Word. В нём содержался макрос и инструкция по его активации: после запуска скрипта на компьютер загружалась легальная программа для удалённого администрирования с сервера, физически расположенного в Санкт-Петербурге, и автоматически устанавливалась.

Как отметил Гостев, утром 16 марта вредоносный файл во вложении был загружен на сервис VirusTotal 70 раз из 56 различных источников, что может свидетельствовать о получении письма сотнями российских банков (всего их около 700).

Заместитель начальника главного управления безопасности и защиты информации Банка России Артём Сычёв заявил, что в будущем рассылки FinCERT будут подписаны цифровой подписью. Однако Сычёв засомневался в том, что банки будут достаточно внимательными, чтобы не попасться снова.