На территории СНГ зафиксированы кибератаки группировки Cobalt
При осуществлении атак эта группировка неоднократно использовала доменные имена зоны .kz.
Служба реагирования на компьютерные инциденты KZ-CERT Государственной технической службы комитета национальной безопасности РК предупреждает о том, что на территории стран СНГ зафиксированы крупные кибератаки группировки Cobalt — одной из самых активных преступных групп, совершающей целенаправленные атаки на банки.
При осуществлении атак группировка Cobalt неоднократно использовала доменные имена зоны.kz (microsoft.org.kz, system1.kz, document.com.kz, documents.com.kz, address-in.kz, securitym.kz, webmaster-1.kz, internal.kz, vision71.kz) с целью осуществления вредоносной рассылки. Служба KZ-CERT при взаимодействии с компанией Group-IB приняла участие в исследовании и блокировке вредоносных доменов зоны.kz.
«В целях профилактики и для осуществления упреждающих мероприятий просим ознакомиться с отчетом, подготовленным „Group-IB“ о деятельности киберпреступной группировки Cobalt, атаковавшей банки в СНГ. Отчет содержит информацию о тактиках, методах и инструментах, использованных злоумышленниками», — говорится в сообщении KZ-CERT.
Специалисты пояснили, что целью Cobalt изначально было опустошение банкоматов: на них запускалась программа, напрямую отправляющая диспенсеру команды на выдачу наличных. Потом группа стала атаковать любые системы финансовых организаций, в которых имелись деньги (карточный процессинг, платежные системы, SWIFT и пр.). Получив доступ к такой системе, злоумышленники изучают алгоритм формирования платежных рейсов, и он повторяется «вручную». При этом сами сервисы или системы не взламываются, обеспечивается доступ в сеть организации, а далее — к соответствующим серверам систем.
«Группе Cobalt до сих пор удается проникать в сети крупных финансовых организаций, расположенных по всему миру… После заражения одного компьютера в сети организации группа Cobalt начинает изучение используемых в ней программ, поиск серверов критически важной инфраструктуры и компьютеров, с которых к ним осуществляется доступ. Многие финансовые организации тратят большие деньги на информационную безопасность и считают, что их изолированные подсети безопасны. Однако они кем-то управляются, а значит, практически всегда есть доступ в безопасную подсеть из небезопасной — пусть только с одного компьютера, пусть с уникальной учетной записью. Вот именно его и будут искать злоумышленники, которые на практике тратят от двух недель до 1,5 месяцев на получение доступа к критически важной инфраструктуре», — отмечается в отчете.