27.10.2020

«Космическая рысь»: русских хакеров обвинили в атаках на бизнес

Исследователи по кибербезопасности зафиксировали активность хакерской группировки Cosmic Lynx, в которую предположительно входят россияне. Сообщается, что киберпреступники используют продвинутые BEC-атаки, направленные на крупный бизнес из списка Fortune 500. Как работают подобные схемы и в чем заключается их опасность — в материале «Газеты.Ru».

ИБ-компания Agari сообщила о серии атак, осуществленных группировкой Cosmic Lynx [рус. «Космическая рысь], которая предположительно состоит из россиян. Известно, что для своих целей хакеры используют так называемые BEC-атаки [Business Email Compromise], или мошенничество в деловой переписке.

С июля 2019 года Cosmic Lynx удалось провести около 200 атак, направленных против компаний в 46 странах мира.

При этом хакеры выбирают в качестве жертв организации, которые входят в списки Fortune 500 или Global 2000, то есть обладают крупной выручкой.

Сообщается, что до атаки киберпреступники находили компанию, которой предстояла сделка по приобретению другого бизнеса. Они отправляли сообщение, в котором выдавали себя за генерального директора продаваемой фирмы, предлагая услуги «внешнего юрисконсульта», дабы завершить сделку.

«Юрисконсульт» в свою очередь знакомил жертву с другим человеком, который притворялся британским юристом, специализирующимся на аквизициях и слияниях. Этот злоумышленник направлял письмо на имя генерального директора компании-жертвы с инструкциями о том, как совершить денежную транзакцию. В конечном итоге средства на покупку бизнеса попадали в руки мошенников. 

Исследователи по кибербезопасности отмечают, что, в отличие от большинства BEC-атак, которые изобилуют грамматическими ошибками и опечатками, схемы Cosmic Lynx отличает хорошее владение английским языком и тонкостями его строения.

Кроме того, в своих письмах хакеры использовали отсылки к актуальным событиям вроде пандемии, а также манеру речи, свойственную крупным бизнесменам.

«Каждый кризис предлагает почву, чтобы посадить семена возможностей. Я рад уведомить вас, что мы решили воспользоваться моментом и стремимся приобрести активы компании, переживающей не лучшие времена. Наша юридическая команда в настоящее время работает над закрытием сделки, и мне хотелось бы, чтобы вы оказали им содействие по некоторым вопросам, которые необходимо решить в срочном порядке», — говорится в одном из писем, составленном злоумышленниками.

Пока нет точных данных, сколько именно Cosmic Lynx удалось заработать на своей схеме, но, учитывая ее активность, сумма может быть шестизначной.

Доподлинно известно, что одна из жертв направила мошенникам $1,5 млн.

«Газета.Ru» пообщалась с ИБ-экспертами, чтобы выяснить, в чем опасность BEC-атак для современного бизнеса.

BEC-атаки –– разновидность фишинговых атак с использованием социальной инженерии, рассказывает Мартин Хрон, старший исследователь вредоносных программ Avast.

«Злоумышленники, имеющие базовые знания о структуре компании, отправляют электронные письма с поддельного адреса электронной почты от имени какого-либо сотрудника –– обычно генерального или финансового директора или кого-либо из руководства компании. Этот вид мошенничества работает аналогично фишинговым веб-сайтам –– злоумышленники пытаются убедить жертву перейти по ссылке или открыть вложение, чтобы начать заражение», — заявил Хрон.

Тип атак «Business Email Compromise» – это не что иное, как атака на электронную почту с целью контроля над перепиской сотрудников организации, которые имеют возможность проводить безналичные платежи по корпоративным счетам, пояснил директор департамента информационной безопасности Oberon Андрей Головин.

По его словам, основная опасность таких атак заключается в том, что их нельзя выявить с помощью стандартных технических средств защиты.

«Нет проникновения в платежную систему, в письмах нет вредоносного содержимого. По этой причине их спокойно пропускают антивирусы и другие ИБ-решения. Кроме того, злоумышленники используют социальную инженерию. У писем легитимный внешний вид — стиль и оформление письма неотличимы от привычной для сотрудника переписки. Такие сообщения отправляются под конец рабочего дня или перед праздниками, когда все торопятся закрыть дела и уйти на длинные выходные. Текст писем готовится под конкретного получателя, чтобы он не выделялся на фоне остальной переписки», — сообщил эксперт.

По словам Головина, хакерам удавалось получить крупные суммы денег с использованием таких атак.

«Минфин США, к примеру, оценивает ущерб от такого типа атак в $300 млн в месяц. В прошлом году жертвами стали и муниципалитет города Нейплс, штат Флорида, с ущербом порядка $700 тыс., и американское подразделение медийной корпорации Nikkei, лишившееся около $29 млн, и одно из подразделений Toyota Group с потерями более $37 млн. И здесь речь идет лишь о самых ярких и крупных случаях, получивших широкую огласку», — рассказал собеседник «Газеты.Ru».

По словам Ильяса Киреева, ведущего менеджера по продвижению Cross Technologies,

в период с 2016 по 2018 год компрометирующие атаки на деловую электронную почту привели к потере более 5 миллиардов долларов.

Он отметил, что к 2020 году появится около 20 млрд подключенных к интернету устройств, что позволит злоумышленникам легче проводить атаки с использованием вымогателей, включая компрометацию деловой электронной почты.

Технический директор компании Check Point Software Technologies Никита Дуров подтвердил «Газете.Ru», что BEC-атаки широко используются киберзлоумышленниками.

«В декабре прошлого года к нашим коллегам из службы реагирования на инциденты обратились три финансовые компании, все они сообщали об утечках со счетов и просили провести расследование. Каждая компания еженедельно переводила крупные суммы своим партнерам. Выяснилось, что злоумышленники попытались вывести на сторонние счета сумму в размере 1,1 млн фунтов стерлингов. Из них удалось вернуть только 570 тысяч фунтов. Злоумышленники использовали атаки именно по типу BEC. Позднее исследователи назвали эту группу киберпреступников «Флорентийский банкир»», — рассказал Дуров.