От имени одного из подразделений Центробанка России, FinCERT, в российские банки злоумышленниками были разосланы вредоносные письма. FinCERT, к слову, занимается информационной безопасностью. Об этом сообщает агентство Meduza со ссылкой на портал «Лаборатории Касперского» SecureList.
Сообщается, что рассылка была произведена 15 марта около полудня по московскому времени с адреса info@fincert.net (настоящий адрес подразделения — fincert@cbr.ru), причем к получателям в каждом письме обращались по фамилии, имени и отчеству. И-мэйлов адресатов рассылки, по данным SecureList, в открытом доступе нет.
В содержании писем говорилось о «важной информации касательно компроментаци банковских систем» (орфография сохранена). В названии вложенного файла был указан цифровой код, используемый FinCERT при уведомлениях об атаках.
Сам файл содержал встроенный макрос, требующий ручной активации. В случае запуска на компьютер загружался архив с файлами, составляющими, как пишет SecureList, «набор удаленного администрирования». Архив был подписан цифровой подписью компании «СПЕК-2000», которая зарегистрирована в Москве и занимается грузоперевозками.
На данный момент неизвестно, сколько банков пострадали в ходе атаки. SecureList сообщает, что по состоянию на 16 марта вредоносный файл был загружен для проверки на сайт VirusTotal более 70 раз, что может свидетельствовать о массовости рассылки.
Однако в пресс-службе ЦБ РФ сообщили «Ведомостям», что информации о нанесенном банкам в результате атаки ущербе «не поступало». Гендиректор Digital Security Илья Медведовский заявил изданию, что «злоумышленникам нужно время, чтобы закрепиться в системе и вывести средства».
Данный инцидент не является уникальным или технически сложным, но все же представляет значительный интерес. Атакующие впервые использовали «бренд» FinCert, для этого атака была тщательно подготовлена — было создано соответствующее доменное имя, изучены используемые FinCERT идентификаторы. Атакующие обладают базой адресов электронной почты сотрудников сотен российских банков, вместе с их именами и фамилиями.
Копирование материалов, представленных на сайте, возможно только с разрешения редакции и с обязательным указанием активной гиперссылки на источник
