Ни один банк в России в этом году не удостаивался столь пристального внимания хакеров, как «Юнистрим». С начала октября злоумышленники уже четыре раза передали кредитной организации «привет» на доступном для них языке: в октябре были похищены деньги, в ноябре взломан почтовый сервер банка и дважды проводились рассылки вредоносов партнерам «Юнистрима» с его адресов. Проблему, казалось бы, удалось купировать, но 4 декабря ФинЦЕРТ (подразделение ЦБ по кибербезопасности) сообщил об атаке на кредитные организации, в рамках которой с помощью фишинговой рассылки загружался троян, в частности с домена unistreamcloud.com.
Фото: Геннадий Гуляев, Коммерсантъ
Эту атаку зафиксировала компания PositiveTechnologies и приписала ее хакерам из группировки Cobalt. Письма с трояном направлялись банкам от имени межбанковской системы SWIFT. В «Лаборатории Касперского» отметили, что по характеру атаки эта идентична фишинговым рассылкам от 19 и 21 ноября, которые шли с электронных адресов банка. Однако на этот раз «Юнистрим» совершенно ни при чем. Домен unistreamcloud.com свежий. По словам экспертов, зарегистрирован он был 28 ноября не на банк. В «Юнистриме» подтвердили “Ъ”, что отношения к домену и рассылке не имеют. Получается, что киберпреступники специально зарегистрировали схожий с названием «Юнистрима» домен, чтобы атаковать банки и подогревать интерес к недавним событиям.
Экспертов по информбезопасности такой подход озадачил. Директор центра экспертной безопасности PositiveTechnologies Алексей Новиков допускает, что у банка может быть широчайший круг коммуникаций и потому письмо с использованием их бренда откроют с большей вероятностью. Однако, по мнению бизнес-консультанта Cisco Алексея Лукацкого, сейчас использование наименования банка скорее насторожило бы получателя письма из банковской среды. «Полагаю, что данный домен мог быть создан намеренно, именно для привлечения внимания к банку, а возможно, и для нанесения удара по его деловой репутации»,— отметил он.
Выдвигали эксперты и другие версии. Среди самых популярных — злоумышленники из группировки Cobalt таким образом берут на себя ответственность за предыдущие атаки на банк. Или же что хакеры вовлечены в некие «межбанковские разборки».
В PositiveTechnologies отметили, что троян из рассылки относится к одному из самых продаваемых в даркнете и стоит не более $500. То есть серьезных финансовых расходов хакеры точно не понесли, но зато доставили немало забот «Юнистриму», который по каким-то причинам попал к ним в «любимчики». Впрочем, хакеры свои действия, как известно, не комментируют.