Знаменитая хакерская группировка по ошибке «слила» список своих жертв

Безопасность Стратегия безопасности Новости поставщиков
мобильная версия
, Текст: Роман Георгиев
Кибергруппировка Cobalt случайно – или преднамеренно – выдала список своих текущих мишеней в банковском секторе. Эксперты гадают, действительно и они перепутали адресные поля при рассылке или запустили умную диверсию.

Кобальтовый ляпсус

Киберпреступная группировка Cobalt совершила громадный промах, выдав экспертам по безопасности все свои текущие мишени.

Как пояснил специалист компании RiskIQ Йонатан Клейнсма (Yonathan Klijnsma), при очередной своей спиэр-фишинговой рассылке (фишинговой рассылке внутри организации как правило от имени руководства) операторы Cobalt «нечаянно» поместили список адресатов прямо в поле "To", а не в скрытую копию ("BCC").

Как следствие, эксперты теперь могут определить, кого пытается атаковать Cobalt, и предупредить всех потенциальных жертв.

По данным Клейнсма, объектами атак стали сотрудники финансовых учреждений по всему миру. Наибольшее число атакованных, однако, приходится на граждан России и Турции.

Изменение условий

Само по себе вредоносное письмо содержит только заголовок «Изменение условий» (Change of Terms) и RTF-файл, в котором якобы содержатся новые условия работы с межбанковской системой SWIFT.

Внутри файла располагается эксплойт к недавно выявленной уязвимости в старом редакторе формул Microsoft (CVE-2017-11882).

Все может быть непросто

Клейнсма, однако, не уверен, что хакеры из Cobalt совершили свою ошибку непреднамеренно.

Аналогичный казус случился в марте 2017 г., когда, по данным Клейнсма, были атакованы сразу все банки Казахстана.

Скриншот фишингового письма Cobalt с адресами сотрудников Казкоммерцбанка

Не исключено, что речь идёт об отвлекающем манёвре: возможно, операторы Cobalt сознательно «перепутали» адресные поля, чтобы отвлечь внимание экспертов по безопасности. Пока те будут тратить время и усилия на то, чтобы проинформировать (якобы) атакованные банки, реальная атака будет направлена совсем на другие цели.

«Вариант с отвлекающим маневром выглядит более вероятным, - считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Cobalt считается одной из самых профессиональных кибергруппировок, так что вряд ли они будут совершать дважды одну и ту же ошибку. Не исключено, что весной они действительно могли перепутать адресные поля, а теперь имитируют ошибку к своей выгоде».