Silence er en gruppe russisktalende hackere . Det angriber hovedsageligt finansielle institutioner ved hjælp af phishing- e- mails med ondsindede filer [1] . Fra 2021 er deltagernes identitet ukendt. Gruppen blev opkaldt efter deres eget værktøj, Silence.Downloader, som de brugte til at kompromittere systemer.
Fra 2016 til 2019 stjal angribere mindst 4,2 millioner dollars (272 millioner rubler) [2] . Hackere har inficeret systemer i mere end 30 lande i Asien, Europa og CIS [3] [4] .
Det første registrerede angreb fandt sted i august 2016 . Angriberne forsøgte at hacke sig ind i systemet med russiske interbankoverførsler ARM KBR. Cyberkriminelle omgik beskyttelsen og forsøgte at hæve penge. Men på grund af en forkert udarbejdet betalingsordre blev operationen bemærket og stoppet [5] .
En måned senere blev angrebet gentaget. Angriberne genvandt adgang til serverne og downloadede et program til skjult oprettelse af skærmbilleder af brugerens skærm og begyndte at studere operatørernes arbejde ved hjælp af en pseudo-video-stream, som gjorde det muligt for dem at spore bankdokumenter. Angrebet blev afværget. Det var dog ikke muligt at genskabe den fulde kronologi af indtrængen, for når man forsøgte at rydde op i netværket på egen hånd, fjernede bankens IT-service de fleste spor af angribernes aktivitet [5] .
2017I 2017 udførte hackere adskillige DDoS-angreb og lancerede trojanske vira i banksystemer . Alle disse angreb blev iscenesat i realtid af en Perl IRC-bot, der brugte offentlige IRC-chats til at kontrollere trojanske heste [5] .
I oktober installerede kriminelle deres eget program på flere pengeautomater , hvilket forstyrrede processen med at udstede penge. På en nat hævede de 7 millioner rubler. Et identisk angreb fandt sted seks måneder senere - i april 2018 indbragte det hackere omkring 10 millioner [5] [6] .
2018I februar 2018 gennemførte Silence et angreb gennem behandling af bankkort. Ved at administrere en medarbejders konto eliminerede hackerne udbetalingsgrænser på nogle kort. Til at hæve penge brugte de et partnerfirma, gennem hvis pengeautomater de hæver 35 millioner rubler [5] [6] .
I maj blev der optaget en masseafsendelse af e-mails med en ondsindet vedhæftet fil, der lancerede en downloader til at downloade Silence-softwaren.
I august angreb hackere med succes en bank i Indien .
I oktober sendte gruppen en phishing-kampagne til russiske banker. De sendte også omkring 10.000 ikke-malware-test-e-mails til britiske finansielle virksomheder for at opdatere deres e-mail-database.
I november gennemførte Silence en phishing-mailingliste med breve på vegne af Central Bank of Russia (CBR) med et forslag om at gøre sig bekendt med den nye regulering af regulatoren. Modtagerne var mindst 52 banker i Rusland og fem banker i udlandet [7] [8] [9] .
I samme måned organiserede gruppen en masseudsendelse i asiatiske lande for at få en liste over aktive brugere.
I december sendte Silence breve til pengeinstitutter på vegne af en ikke-eksisterende medicinalvirksomhed, hvis medarbejder henvendte sig til banken med en anmodning om at åbne en virksomhedskonto og lønprojekt [7] .
2019I januar 2019 angreb Silence britiske finansielle institutioner . Breve blev sendt på vegne af et medicinsk firma. Hackerne udførte også et angreb på russiske banker: Finansielle institutioner modtog falske invitationer til iFin-2019-forummet. Det berørte mere end 80 tusinde modtagere. Et ZIP-arkiv blev vedhæftet meddelelsen, hvori der var en invitation til et bankforum og en ondsindet vedhæftet fil [7] .
I samme måned blev der lavet yderligere to phishing-mails på vegne af afdelingscheferne i ikke-eksisterende banker - ICA Bank og Bankuralprom. Brevene indeholdt anmodninger om straks at overveje spørgsmålet om åbning af korrespondentkonti for organisationer. Et arkiv indeholdende en kontrakt blev vedhæftet beskeden, og da den blev pakket ud, blev det ondsindede program Silence.Downloader downloadet til brugerens computer [7] [10] [11] .
I januar rapporterede FinCERT om en række andre sager om forsendelser fra Silence, som blev foretaget på vegne af fiktive kreditinstitutter Ural Development, Financial Perspective, CCR, South Kasakhstan [10] [11] .
Januar-angrebet var bemærkelsesværdigt for sit omfang. Kun Sberbank modtog mindst 1,5 tusinde breve. Gazprombank , Raiffeisenbank og Moscow Credit Bank rapporterede også at have modtaget mailinglisten [10] [11] .
I januar angreb hackere med succes en bank i Indien og Omsk IT Bank . I det andet tilfælde er mængden af tyveri anslået til 25 millioner rubler [2] . Indgangspunktet var breve med invitationer til iFin-2019-forummet [12] .
I maj sendte angribere en mail på vegne af en bankklient med en anmodning om at spærre kortet. Angrebet var det første, der brugte Invoke - bagdøren , en fuldstændig filløs trojaner. I samme måned blev en bank i Kirgisistan [2] angrebet .
31. maj - Dutch-Bangla Bank i Bangladesh . Angriberne stjal omkring 3 millioner dollars, som tog syv pengemuldyr, hvoraf seks blev fanget [2] .
I juni konfigurerede Silence en ny server. I samme måned udførte hackere en række angreb på russiske banker [2] .
I juli angreb gruppen med succes banker i Chile , Bulgarien , Costa Rica og Ghana . Angreb blev foretaget fra en server rejst i juni [2] .
Mellem maj 2018 og august 2019 sendte hackere mere end 170.000 e-mails for at opdatere databasen over fremtidige mål [12] .
2020I marts 2020 tog Silence ansvaret for at sende DDoS-trusler til australske finansielle institutioner [13] .
Fra maj 2018 var vellykkede Silence-angreb begrænset til SNG-landene og Østeuropa, og hovedmålene var i Rusland , Ukraine , Hviderusland , Aserbajdsjan , Polen , Kasakhstan . Der blev dog også sendt isolerede phishing-e-mails til bankansatte i mere end 25 lande i Central- og Vesteuropa, Afrika og Asien: Kirgisistan , Armenien , Georgien , Serbien , Tyskland , Letland , Tjekkiet , Rumænien , Kenya , Israel , Cypern , Grækenland , Tyrkiet , Taiwan , Malaysia , Schweiz , Vietnam , Østrig , Usbekistan , Storbritannien , Hong Kong og andre.
I 2019 blev geografien for Silence-angreb den mest omfattende for hele gruppens eksistens, arbejdsstationer blev inficeret af hackere i mere end 30 lande i verden i Asien, Europa og CIS [2] .
I begyndelsen af 2020 gav specialister fra specialiserede virksomheder forskellige meninger om geografien af gruppens angreb. Kaspersky Lab har bemærket en stigning i Silence-aktivitet i afrikanske lande [14] [13] . Gruppen fokuserede på mål i Asien, Afrika, Europa og Amerika. Samtidig øgede Silence ifølge Positive Technologies ikke sin aktivitet i denne periode, og angreb uden for Rusland og SNG-landene er ikke typiske for dem [3] [1] .
Det viste sig, at hackerne bruger det kyrilliske tastatur, når de arbejder. Trojanen af deres forfatterskab består af kommandoer, der består af engelske bogstavkombinationer, for eksempel htcnfhn og htrjyytrn. Bag dette tegnsæt er ordene "genstart" og "genopret forbindelse", skrevet i et andet layout. Hackere lejer også servere til deres behov hovedsageligt i Rusland og Ukraine [5] .
Rygraden i gruppen består kun af to personer - en udvikler og en operatør [15] . Udvikleren har kompetencerne som en højt kvalificeret reverse engineer. Han udvikler angrebsværktøjer, ændrer komplekse udnyttelser og programmer. Den laver dog mange fejl under udviklingen: Dette er typisk for en virusanalytiker eller en reverse engineer. Det andet medlem af teamet er en operatør, han er godt bekendt med penetrationstest, som giver ham mulighed for at navigere i bankinfrastrukturen. Det er ham, der bruger de udviklede værktøjer til at få adgang til sikre systemer i banken og starter processen med tyveri [5] .
I 2019 blev der fundet en lighed mellem Silence.Downloader og FlawedAmmyy.Downloader downloaderen, som er forbundet med TA505 hackerangreb. Begge programmer er udviklet af den samme person [12] .
Da banksystemet blev overtaget, blev phishing den vigtigste taktik for hackere [5] . Til at begynde med brugte gruppen hackede servere og kompromitterede konti til forsendelser. Senere begyndte kriminelle at registrere phishing-domæner, som de oprettede selvsignerede certifikater for [15] [16] .
Svindlere bruger både velkendte mailtjenester (att.net, mail.com) og registrerer nye domæner, der gentager bankadresser med mindre ændringer. Nogle gange bliver hackede servere et værktøj i hænderne på kriminelle [5] [16] .
For at udføre phishing-mailinglister lejer hackere servere i Rusland og Holland . Silence bruger også tjenester fra en hoster fra Ukraine til at leje servere til kommandocentre. Adskillige servere blev lejet af MaxiDed, hvis infrastruktur blev blokeret af Europol i maj 2018 [5] [16] .
Angribere bruger DKIM og SPF til at omgå e-mail-filtreringssystemet. De sender beskeder på vegne af banker, der ikke har SPF konfigureret fra lejede servere med ændrede overskrifter. Der blev sendt breve på vegne af bankmedarbejdere med færdige tekster, hvilket gjorde det muligt at øge chancen for et vellykket angreb [16] .
Efter at have åbnet filen vedhæftet brevet, blev en uafhængig loader af Silence-softwareplatformen lanceret. Samtidig analyserer softwaren, hvor nyttig den fangede server kan være i et angreb. I så fald vil den bot, der starter den trojanske infektion, slette sig selv uden spor [5] [16] .
Hvis virussen har fundet sit virkefelt, er den indbygget i systemet – den registreres og sættes i drift på serveren. Derudover indlæses et bot-modul på den inficerede maskine, som overfører skadelig trafik fra hackere til det netværk, som den fangede computer er forbundet til. Som et resultat er angribere indbygget i netværket: programmer gør deres arbejde til en automatisk proces [5] [16] .
Samtidig forsøger hackere at inficere computerne hos dem, der åbner ondsindede vedhæftede filer med flere trojanske moduler på én gang. En af dem tager for eksempel skærmbilleder af skærmen på en inficeret computer. Virus bruger administrative værktøjer, studerer bankernes interne infrastruktur, hvorefter angriberne stjæler penge (inklusive gennem pengeautomater). I gennemsnit forsøger hackere under angreb at hæve omkring 1 million dollars [1] .
I de første angreb brugte Silence en lånt Kikothac-bagdør og lappede den [16] .
Senere skabte hackere et unikt sæt værktøjer til angreb på kortbehandling og pengeautomater, som omfatter både lånte og selvskrevne programmer [5] .
Hackere oprettet selvstændigt: Silence - en ramme for angreb på infrastruktur, Atmosphere - et sæt programmer til angreb på pengeautomater, Farse - et værktøj til at få adgangskoder fra en inficeret computer og Cleaner - et værktøj til sletning af fjernforbindelseslogfiler [5] [16 ] .
I 2017 brugte hackere i et forsøg på at hacke udenlandske bankers systemer Smoke Bot-programmet, som har været kendt på det mørke web siden begyndelsen af 2010'erne og bruges til primær infektion. Herefter indgik de det løbende i deres arsenal. På samme tid brugte hackere i phishing-angreb en udnyttelse, som formodentlig bruges af Fancy Bear-gruppen (alias APT28 og Pawn Storm) [5] [16] .
For at udføre DDoS-angreb bruger hackere en modificeret Perl IRC DDoS-bot baseret på Undernet DDoS-bot [5] [16] .
Siden 2019 har Silence forbedret sin operationelle sikkerhed og ændret sit værktøjssæt for at forhindre detektion [17] .
De omskrev bot-kommandoerne, såvel som programmerne Silence.Downloader og Silence.Main. Gruppen begyndte også at bruge en filløs, PowerShell-baseret loader kaldet Ivoke. Til lateral bevægelse i ofrets netværk, Powershell-agenten EmpireDNSAgent (EDA), baseret på Empire og dnscat2-projekterne [17] .