Cobalt (хакерская группа)

Cobalt (Cobalt Gang, Cobalt Spider[1]) — группа хакеров, активная с 2016 года. Их основной целью являются компании кредитно-финансового сектора[1][2]. В 2018 году задержали одного из лидеров группировки, однако атаки продолжились[3].Cobalt получила свое название по имени общедоступного программного обеспечения, которое они использовали для взлома систем — Cobalt Strike. Это лицензионная программа для тестирования информационных систем на проникновение, производимая американской компанией Strategic Cyber, LLC[2][4]. Существует мнение, что некоторые ее участники были членами другой хакерской группы Anunak/Carbanak[2][1]. Также некоторые источники утверждают, что Cobalt и Anunak — это одна и та же группировка[5][3][6].

По сообщению Европола, на 2018 год хакеры похитили около 1 млрд евро у 100 банков в 40 странах мира, в том числе в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване, Малайзии[3].


Morphisec Labs считает, что группа Cobalt раскололась после ареста её руководителя на две: Cobalt Gang 1.0 и Cobalt 2.0[7].

История

Первый зафиксированный инцидент произошёл в 2016 году. Хакеры атаковали банкоматы First Bank на Тайване. Им удалось похитить $2,18 млн.

В сентябре 2016 Cobalt получили доступ к банку в Казахстане. К атаке хакеры готовились 2 месяца. В ноябре через карточный процессинг они похитили около 600 тысяч долларов.

С этого момента процессинг стал основной целью группировки в банках разных стран. С его помощью хищения можно было совершать быстрее и безопаснее, что было важным для хакеров после задержаний людей, обналичивавших похищенные средства, в Тайване, Румынии и России.

На сентябрь 2016 года хакеры атаковали банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии.

В 2017 году пытались похитить деньги у одного небольшого банка через карточный процессинг, но неудачно. После чего они впервые в своей деятельности использовали собственную модификацию «PetrWrap» вируса-шифровальщика Petya. В результате они вывели сеть банка из строя.

С января по июнь 2017 года хакеры атаковали банкоматы в центре Мадрида, сумма ущерба составила 0,5 млн евро[5].

В феврале 2017 года был зафиксирован успешный взлом системного интегратора, который Cobalt использовал как «посредника» для проведения атак на компании в России, Казахстане, Молдавии, а также их представительства в других странах. В течение последующих 9 месяцев они получили доступ минимум в 4 аналогичных компаниях: по одной в Украине и США, двум компаниям в России.

В сентябре 2017 года группировка провела атаку на компанию-разработчика электронных кошельков, похитив деньги через платежный шлюз. В этом инциденте впервые обнаружены явные следы группы Anunak/Carbanak.

В конце 2017 года впервые в истории финансовой системы России они совершили успешную атаку на банк с использованием системы межбанковских переводов (SWIFT).

По словам зампреда ЦБ РФ Дмитрия Скобелкина, за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, успешными оказалось всего 11 атак. При этом восемь из одиннадцати пострадавших организаций являлись участниками информационного обмена с ФинЦЕРТом[8][5].

ФинЦЕРТ оценил ущерб кредитным организациям от атак группы в 2017 году в 1,156 млрд рублей[8].

В марте хакеры совершили несколько рассылок от имени американских компаний, например, IBM, Verifon, Spamhaus.

26 марта 2018 года Европол сообщил об аресте в испанском городе Аликанте лидера группы. Однако это не остановило саму группировку. Задержанным оказался гражданин Украины «Денис К.»[5].

3 апреля были отправлены рассылки со скомпрометированной почтового сервера шведской компании.

В августе Proofpoint зафиксировали рассылки от имени «Interkassa», Единой зоны платежей в евро (SEPA) и «Альфа-банка» с вредоносными вложениями, которые в конечном итоге запускали CobInt (программу которую используют Cobalt). В сентябре аналогичные рассылки были сделаны от имени «Райффайзенбанка»[9].

В октябре 2018 хакеры атаковали банк «Юнистрим». Заражение банка было произведено через сделанную от имени крупного банка фишинговую рассылку. По информации источников «Ъ», они вывели средства через платежные системы. Однако банк отрицает это[10].

В ноябре хакеры произвели фишинговую рассылку от имени «Юнистрим», при этом адрес отправителя являлся легальным почтовым адресом банка[10].

Тактика и инструменты

2016

В качестве первичного вектора компрометации группа использовала точечную рассылку писем с вредоносными вложениями — документами с эксплоитами и архивами с исполняемыми файлами.

В своем отчете Group-IB отмечают, что письма рассылались от лица Европейского центрального банка[11], производителя банкоматов Wincor Nixdorf или от имени региональных банков. При этом хакеры использовали российские сервера с ПО, которое меняло адрес отправителя на официальные домены организаций.

В июне 2016 года злоумышленники использовали виртуальные сервера с установленной системой анонимной рассылки писем «йаПосылалка v.2.0»/«alexusMailer v.2.0».

После открытия вредоносного вложения, вшитые в него программы искали уязвимость, и в случае успеха, в оперативную память загружалась полезная нагрузка Beacon, которая входила в легитимное ПО для тестов на проникновение Cobalt Strike. При этом срабатывал специальный модуль программы, который заменял некоторые приложения, прописанные в автозагрузке, на свой исполняемый файл с таким же именем.

Таким образом, при запуске системы вместо легальных программ запускались вредоносные приложения, которые скачивали из интернета в оперативную память Beacon. После каждой перезагрузки основной модуль удалялся.

Для компрометации доменных и локальных учётных записей использовались утилита Mimikatz или ошибки конфигурации доменов. После чего они инициировали выдачу наличных денег через банкоматы с помощью специальной программы. По команде из внутренней сети она запускала выдачу купюр до полного опустошения кассет.

Group-IB отмечают, что техники и методы доставки фишинговых писем и получения управления над доменами, которые использовала Cobalt, идентичны тем, что использовала хакерская группировка Buhtrap.

После каждой успешной операции по обналичиванию программа записывала специальный лог с информацией о количестве банкнот, выданных из каждой кассеты. Оператор передавал данные организатору атаки, который использовал эту информацию для контроля цепи обналичивания.

После выдачи денег все следы программы на банкомате уничтожались с использованием легальной и бесплатной утилиты SDelete от Microsoft. Также операторы выводили из строя внутренние серверы банка, с которых осуществлялись атаки, при помощи MBRKiller, которая удаляет записи MBR.

2017

С 2017 года хакеры начали использовать новые инструменты и модифицировали старые. В том числе собственную модификацию «PetrWrap» вируса-шифровальщика Petya, новый JS-бэкдор и новый Java-загрузчик CobInt, генерируемый фреймворком CobaltStrike.

Также они изменили тактику в сторону непрямых атак. Хакеры взламывали сторонние компании, например, системных интеграторов, и через их сеть получали доступ к финансовым организациям.

В марте 2017 года хакеры начали взламывать компании, которые предоставляют электронные кошельки и терминалы оплаты. В апреле создали уникальную программу для автоматического формирования мошеннических платежей через платежные шлюзы.

В мае хакеры начали тестирование нового инструмента — библиотеки формата PE (DLL), выполнявшей роль разведывательного модуля. Однако они им так и не воспользовались.

JS-бэкдор должен был выполнять роль развед-модуля, мешая обнаружить хакеров. Программа использовалась в атаках на компании в странах Восточной Европы и англоговорящие компании. Впервые хакеры воспользовались им при атаках через компрометацию серверов американского интегратора с высоким качеством составления фишинговых писем и приложением реальных отчетов из системы SWIFT.

В сентябре Cobalt функционал JS-бэкдора был использован в исполняемом файле InfoStealer, но без возможности загрузки и запуска других программ. Программу применяли в атаках на СМИ, разработчиков ПО, страховые компании, чтобы потом воспользоваться их инфраструктурой для атак на банки.

В декабре хакеры добавили в свой арсенал новый Java-загрузчик, генерируемый фреймворком CobaltStrike, но с уникальным payload’ом, который догружает Recon бэкдор Coblnt. Бэкдор в виде команд от сервера получает модули на исполнение.

2018

Proofpoint отмечают, что с мая 2018 года хакеры не использовали Coblnt. Однако в июле вернулись к этой программе[9].

Morphisec Labs считает, что группа Cobalt раскололась после ареста одного из ее руководителей в Испании в марте 2018 года. Cobalt Gang 1.0 широко использует ThreadKit, а Cobalt 2.0 использует более сложные механизмы, заимствуя некоторые сетевые инфраструктуры, используемые другими хакерами, например APT28 (он же Fancy Bear) и MuddyWater[7].

Примечания

  1. 1 2 3 Cobalt. www.ptsecurity.com. Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
  2. 1 2 3 Cobalt. www.securitylab.ru. Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
  3. 1 2 3 Mastermind behind EUR 1 billion cyber bank robbery arrested in Spain (англ.). Europol. Дата обращения: 30 ноября 2021. Архивировано 6 августа 2018 года.
  4. Cobalt Strikes Again, Spam Runs Target Russian Banks (амер. англ.). Trend Micro (20 ноября 2017). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
  5. 1 2 3 4 В Испании задержан лидер «самой успешной» хакерской группировки Carbanak. Ведомости. Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
  6. Арестован лидер хакерской группы Cobalt (она же Carbanak). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
  7. 1 2 Michael Gorelik. Cobalt Group 2.0 (амер. англ.). blog.morphisec.com. Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
  8. 1 2 Ущерб кредитных организаций РФ от атак Cobalt Strike составил 1,2 млрд рублей. Interfax.ru (13 февраля 2018). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
  9. 1 2 New modular downloaders fingerprint systems - Part 3: CobInt | Proofpoint US (англ.). Proofpoint (11 сентября 2018). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
  10. 1 2 «Юнистрим» взломали дважды. www.kommersant.ru (20 ноября 2018). Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.
  11. Vanja Svajcer. Multiple Cobalt Personality Disorder. Дата обращения: 30 ноября 2021. Архивировано 30 ноября 2021 года.

Read other articles:

قلعة القدموس

هذه المقالة بحاجة لصندوق معلومات. فضلًا ساعد في تحسين هذه المقالة بإضافة صندوق معلومات مخصص إليها. يفتقر محتوى هذه المقالة إلى الاستشهاد بمصادر. فضلاً، ساهم في تطوير هذه المقالة من خلال إضافة مصادر موثوق بها. أي معلومات غير موثقة يمكن التشكيك بها وإزالتها. (مارس 2016) قلعة القد

 

Makau

Daerah Administratif Khusus Makau Republik Rakyat TiongkokMandarin:中華人民共和國澳門特別行政區Romanisasi bahasa Kanton:Jūng'wàh Yàhnmàhn Guhng'wòhgwok Oumún Dahkbiht HàhngjingkēuiPortugis:Região Administrativa Especial de Macau da República Popular da China Bendera Lambang Lagu kebangsaan: Barisan Para Sukarelawan義勇軍進行曲Yihyúhnggwān JeunhàhngkūkMarcha dos VoluntáriosPuspa bangsa:Nelumbo nucifera蓮花Līnfàalótus, flor-de-lótus, loto-índico, l...

 

History of a Salaryman

History of a SalarymanPoster promosi untuk History of a SalarymanGenreComedy Thriller RomanceDitulis olehJang Young-chul Jung Kyung-soonSutradaraYoo In-shikPemeranLee Beom-soo Jung Ryeo-won Jung Gyu-woon Hong Soo-hyunPenata musikKim Ji-sooNegara asalKorea SelatanBahasa asliKoreaJmlh. episode22ProduksiLokasi produksiKoreaDurasiSenin dan Selasa pukul 21:55 (WSK)Rumah produksiJS PicturesRilisJaringan asliSeoul Broadcasting SystemRilis asli02 Januari (2012-01-02) –13 Maret 2012&...

Victor Dolipschi

Romanian Greco-Roman wrestler Victor DolipschiPersonal informationBorn19 October 1950Bucharest, Romania[1]Died19 January 2009 (aged 58)Bucharest, RomaniaHeight186 cm (6 ft 1 in)Weight150 kg (331 lb)SportSportGreco-Roman wrestlingClubCS Dinamo București[2] Medal record Representing  Romania Olympic Games 1972 Munich +100 kg 1984 Los Angeles +100 kg European Championships 1972 Katowice +100 kg 1977 Bursa +100 kg Victor Dolipschi (19 October 1950 ...

 

UFC Fight Night: Moicano vs. The Korean Zombie

UFC mixed martial arts event in 2019 UFC Fight Night: Moicano vs. The Korean ZombieThe poster for UFC Fight Night: Moicano vs. The Korean ZombieInformationPromotionUltimate Fighting ChampionshipDateJune 22, 2019 (2019-06-22)VenueBon Secours Wellness ArenaCityGreenville, South CarolinaAttendance7,682[1]Total gate$567,930.80[1]Event chronology UFC 238: Cejudo vs. Moraes UFC Fight Night: Moicano vs. The Korean Zombie UFC on ESPN: Ngannou vs. dos Santos UFC Fight Ni...

 

Abram Ackerman House

Historic house in New Jersey, United States United States historic placeAbram Ackerman HouseU.S. National Register of Historic PlacesNew Jersey Register of Historic Places Show map of Bergen County, New JerseyShow map of New JerseyShow map of the United StatesLocation199 East Saddle River Road, Saddle River, New JerseyCoordinates41°2′11″N 74°5′59″W / 41.03639°N 74.09972°W / 41.03639; -74.09972Area4.2 acres (1.7 ha)Built1781ArchitectAckerman, AbramMPSSa...

Korean yen

1910–1945 currency of colonial Korea For other uses, see Yen (disambiguation). This article includes a list of general references, but it lacks sufficient corresponding inline citations. Please help to improve this article by introducing more precise citations. (June 2016) (Learn how and when to remove this template message) Korean yen조선 엔 (Korean) Korean one yen note (1932)UnitSymbol圓‎DenominationsSubunit 1⁄100Sen 1⁄1000Rin 1⁄1000...

 

Drones (2013 film)

Not to be confused with the documentary Drone (2014 film). 2013 American filmDronesDirected byRick RosenthalWritten byMatt WittenProduced byTrent BroinJames C. HartM. Elizabeth HughesNathan KellyBert KernNick MortonRick RosenthalMatt WittenStarringMatt O'LearyEloise MumfordWhip HubleyWilliam RussCinematographyNoah RosenthalEdited byMichelle M. WittenMusic byCody WestheimerProductioncompaniesKhaos DigitalWhitewater FilmsDistributed byPhase 4 FilmsRelease dates October 19, 2013 (...

 

حارة اللقية (دار سعد)

يفتقر محتوى هذه المقالة إلى الاستشهاد بمصادر. فضلاً، ساهم في تطوير هذه المقالة من خلال إضافة مصادر موثوق بها. أي معلومات غير موثقة يمكن التشكيك بها وإزالتها. (ديسمبر 2018) حارة اللقية  - حارة -  تقسيم إداري البلد  اليمن المحافظة محافظة عدن المديرية مديرية دار سعد ا...

Breaking Me Down

This article does not cite any sources. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Breaking Me Down – news · newspapers · books · scholar · JSTOR (April 2019) (Learn how and when to remove this template message) 2008 single by Maria LawsonBreaking Me DownSingle by Maria Lawsonfrom the album Emotional Rollercoaster B-sideSign Your NameReleased6 September 2008 (...

 

Kingsway tramway subway

Former tram tunnel in London This article includes a list of general references, but it lacks sufficient corresponding inline citations. Please help to improve this article by introducing more precise citations. (June 2012) (Learn how and when to remove this template message) Kingsway Subway northern portal in Southampton Row LCC Tramways in Holborn Legend north to Highbury & Islington Holborn Kingsway tramway subway Aldwych westto Kennington Gate │ eastto Tower Bridge...

 

Galaxy 15

American telecommunications satellite Galaxy 15Animation of Galaxy 15's trajectory from 13 October 2005 to 25 October 2005  Galaxy 15 ·   EarthMission typeCommunicationNavigationOperatorPanAmSat (2005–2006)Intelsat (2006-)COSPAR ID2005-041A SATCAT no.28884Mission duration15 years (planned) Spacecraft propertiesBusGEOStar-2ManufacturerOrbital SciencesLaunch mass2,033 kilograms (4,482 lb) Start of missionLaunch dateOctober 13, 2005, 22:32 (2005-...

Martha Lane Fox

British businesswoman (born 1973); member of the House of Lords The Right HonourableThe Baroness Lane-Fox of SohoCBE HonFREngLane Fox in 2013Chancellor of the Open UniversityIncumbentAssumed office 12 March 2014Preceded byThe Lord PuttnamMember of the House of LordsLord TemporalIncumbentAssumed office 26 March 2013Life peerage Personal detailsBornMartha Lane Fox (1973-02-10) 10 February 1973 (age 50)London, EnglandPolitical partyNone (crossbencher)ParentRobin Lane Fox (father)Alm...

 

Polish Air Force

Aerial warfare branch of Poland's armed forces Polish Air ForceSiły PowietrzneMilitary eagleFoundedde facto: 1917; 106 years ago (1917)[1]de jure: 1918; 105 years ago (1918)[2]Country PolandTypeAir forceRoleAerial warfareSize16,500 personnel[3]261+ aircraft[4]Part ofPolish Armed ForcesMarchMarsz Lotników (March of Aviators)[5]EngagementsPolish–Ukrainian WarPolish–Soviet WarWorld War II Invasion of Pola...

 

The Genius After Hours

1961 album by Ray Charles The Genius After HoursStudio album by Ray CharlesReleased1961RecordedApril 30, 1956 - September 12, 1957 in New York CityGenreHard bop[1]jazzLength38:29LabelAtlanticProducerNesuhi Ertegun & Jerry WexlerRay Charles chronology Genius + Soul = Jazz(1961) The Genius After Hours(1961) Ray Charles and Betty Carter(1961) The Genius After Hours is an album by American musician Ray Charles, released in 1961. The songs featured on the album were taken from the ...

Maria Kirilenko

Maria KirilenkoKebangsaan RusiaTempat tinggalMoscow, RussiaTinggi173 m (567 ft 7 in)Berat57,6 kgMemulai pro2001PensiunAktifTipe pemainKananTotal hadiah$6,003,340TunggalRekor (M–K)199–133Gelar5 (3 gelar ITF)Peringkat tertinggiNo. 12 (27 Agustus 2012)Peringkat saat iniNo. 13 (26 Maret 2013)Hasil terbaik di Grand Slam (tunggal)Australia Terbuka4r (2008)Prancis Terbuka3r (2006)Wimbledon2r (2005)AS Terbuka3r (2003, 2006, 2007)GandaRekor (M–K)105–84Gelar5 WTAPeringk...

 

Massimiliano Allegri

Italian football manager (born 1967) Massimiliano Allegri Allegri managing Juventus in 2018Personal informationFull name Massimiliano Allegri[1]Date of birth (1967-08-11) 11 August 1967 (age 56)Place of birth Livorno, ItalyHeight 1.83 m (6 ft 0 in)[2]Position(s) MidfielderTeam informationCurrent team Juventus (head coach)Senior career*Years Team Apps (Gls)1984–1985 Cuoiopelli [it] 7 (0)1985–1988 Livorno 29 (0)1988–1989 Pisa 2 (0)1989–19...

 

Slut in a Good Way

2018 Canadian filmSlut in a Good WayFrenchCharlotte a du fun Directed bySophie LorainWritten byCatherine LégerProduced byMartin Paul-HusStarringMarguerite BouchardRomane DenisRose AdamAnthony TherrienCinematographyAlexis Durand-BraultEdited byLouis-Philippe RathéMusic byDazmoSari DijaniPierre-Luc RiouxMarc-André SauvageauRudy ToussaintProductioncompanyAmérique FilmDistributed byChristal FilmsRelease dates March 2, 2018 (2018-03-02) (Canada) March 29, 2019 ...

Máté Kocsis

Hungarian jurist, sports administrator and politician Máté KocsisMayor of JózsefvárosDistrict VIII, BudapestIn office22 November 2009 – 17 April 2018Preceded byBéla CsécseiSucceeded byBotond SáraMember of the National AssemblyIncumbentAssumed office 8 May 2018In office14 May 2010 – 5 May 2014 Personal detailsBorn (1981-05-06) 6 May 1981 (age 42)Budapest, HungaryPolitical partyMIÉP (1998–1999)Fidesz (since 2006)SpouseDr. Szilvia MárkusChildrenKristófP...

 

List of South Korean films of 1985

Lists of South Korean films by year ← 1984 1985 1986 → Korean Animation Full list . . Pre-1948 1948 1949 1950 1951 1952 1953 1954 1955 1956 1957 1958 1959 1960 1961 1962 1963 1964 1965 1966 1967 1968 1969 1970 1971 1972 1973 1974 1975 1976 1977 1978 1979 1980 1981 1982 1983 1984 1985 1986 1987 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 •00000•00...

 

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!