2017 m. rugsėjo mėnesį „Kaspersky Lab“ tyrėjai nustatė naują tikslinių išpuolių seriją prieš mažiausiai 10 finansinių organizacijų keliuose regionuose, įskaitant Rusiją, Armėniją ir Malaiziją. Išpuolius vykdo nauja hakerių grupė pavadinimu „Silence“. Lėšas iš savo aukų „Silence“ pasisavina naudodami panašius metodus, kaip ir garsieji „Carbanak“. Atakos vis dar tęsiasi.
„Silence“ prisijungia prie labiausiai niokojančių ir sudėtingiausių kibernetinio plėšikavimo operacijų, tokių kaip „Metel“, „GCMAN“ ir „Carbanak“, kurios iš finansinių organizacijų sugebėjo pavogti milijonus dolerių. Dauguma šių operacijų veikia tokia tvarka: jie ilgą laiką gauna nuolatinę prieigą prie vidinių bankų tinklų, stebi kasdienę veiklą, išnagrinėja kiekvieno atskiro banko tinklo duomenis, o tada, kai ateina tinkamas laikas, jie panaudoja šias žinias, kad pasisavintų kuo didesnę pinigų sumą.
Tokia pati situacija ir su „Silence Trojan“ – jie įsiskverbia į aukų infrastruktūrą per apgaulingus elektroninius laiškus. Piktybiniai priedai, siunčiami elektroniniu paštu, yra gana sudėtingi. Kai auka juos atidaro, reikia tik vieno paspaudimo, kad prasidėtų serija atsisiuntimų ir galiausiai susikurtų „the dropper“. Jis bendrauja su komandų ir valdymo serveriu, siunčia užkrėsto kompiuterio ID ir parsisiunčia bei paleidžia kenkėjiškas programas, atsakingus už įvairias užduotis, tokias kaip: ekrano įrašymas, duomenų įkėlimas, kredencialų vagystė, nuotolinis valdymas ir kt.
Įdomu tai, kad nusikaltėliai naujoms atakoms naudoja jau užkrėstų finansų įstaigų infrastruktūrą, naujai aukai siųsdami elektroninius laiškus iš realių darbuotojų elektroninio pašto adresų, kartu su prašymu atidaryti banko sąskaitą. Naudodamiesi šiuo apgaulės būdu nusikaltėliai įsitikina, kad gavėjui nesukels jokių įtarimų.
Kai kibernetiniai nusikaltėliai įsigauna į tinklą, jie pradeda jį nagrinėti. „Silence“ grupė sugeba stebėti savo aukos veiklą, daryti nukentėjusiojo aktyviojo ekrano kopijas, teikti realaus laiko vaizdo srautą iš visos nukentėjusiojo veiklos ir t. t. Visa tai daroma dėl to, kad suprasti aukos kasdienę veiklą ir gauti pakankamai informacijos, jog būtų galima pavogti pinigus. Šis procesas ir stilius labai panašus į „Carbanak“ metodus.
Remiantis kalbos artefaktais, kurie buvo rasti atliekant tyrimus dėl šio išpuolio kenksmingų komponentų, „Kaspersky Lab“ saugumo tyrėjai padarė išvadą, kad nusikaltėliai, slypintys už piktavališkų „Silence“ išpuolių, kalba rusiškai.
„Silence Trojan“ yra naujas pavyzdys, kaip kibernetiniai nusikaltėliai pereina nuo įprastų vartotojų ir pradeda tiesioginius išpuolius prieš bankus. Neseniai pastebėjome, kad ši tendencija auga, nes įgyvendinama vis daugiau profesionalių APT stiliaus kibernetinių apiplėšimų. Labiausiai nerimą kelia tai, kad dėl jų „šešėlinių“ atakų būdo, šie išpuoliai gali būti sėkmingi, neatsižvelgiant į banko saugumo architektūros ypatumus“, – pastebi Sergey Lozhkin, „Kaspersky Lab“ saugumo ekspertas.