Следите за новостями

Цифра дня

38,2 млрд тг сэкономил минздрав за счет цифровизации

На территории СНГ зафиксированы кибератаки группировки Cobalt

При осуществлении атак эта группировка неоднократно использовала доменные имена зоны .kz.

21 июня 2018 09:00, Profit.kz
Рубрики: Безопасность

Служба реагирования на компьютерные инциденты KZ-CERT Государственной технической службы комитета национальной безопасности РК предупреждает о том, что на территории стран СНГ зафиксированы крупные кибератаки группировки Cobalt — одной из самых активных преступных групп, совершающей целенаправленные атаки на банки.

При осуществлении атак группировка Cobalt неоднократно использовала доменные имена зоны.kz (microsoft.org.kz, system1.kz, document.com.kz, documents.com.kz, address-in.kz, securitym.kz, webmaster-1.kz, internal.kz, vision71.kz) с целью осуществления вредоносной рассылки. Служба KZ-CERT при взаимодействии с компанией Group-IB приняла участие в исследовании и блокировке вредоносных доменов зоны.kz.

«В целях профилактики и для осуществления упреждающих мероприятий просим ознакомиться с отчетом, подготовленным „Group-IB“ о деятельности киберпреступной группировки Cobalt, атаковавшей банки в СНГ. Отчет содержит информацию о тактиках, методах и инструментах, использованных злоумышленниками», — говорится в сообщении KZ-CERT.

Специалисты пояснили, что целью Cobalt изначально было опустошение банкоматов: на них запускалась программа, напрямую отправляющая диспенсеру команды на выдачу наличных. Потом группа стала атаковать любые системы финансовых организаций, в которых имелись деньги (карточный процессинг, платежные системы, SWIFT и пр.). Получив доступ к такой системе, злоумышленники изучают алгоритм формирования платежных рейсов, и он повторяется «вручную». При этом сами сервисы или системы не взламываются, обеспечивается доступ в сеть организации, а далее — к соответствующим серверам систем.

«Группе Cobalt до сих пор удается проникать в сети крупных финансовых организаций, расположенных по всему миру… После заражения одного компьютера в сети организации группа Cobalt начинает изучение используемых в ней программ, поиск серверов критически важной инфраструктуры и компьютеров, с которых к ним осуществляется доступ. Многие финансовые организации тратят большие деньги на информационную безопасность и считают, что их изолированные подсети безопасны. Однако они кем-то управляются, а значит, практически всегда есть доступ в безопасную подсеть из небезопасной — пусть только с одного компьютера, пусть с уникальной учетной записью. Вот именно его и будут искать злоумышленники, которые на практике тратят от двух недель до 1,5 месяцев на получение доступа к критически важной инфраструктуре», — отмечается в отчете.