Кибератаки на банки через цепочку поставок ПО: новый тренд в киберпреступности?

В последние месяцы два банка стали мишенью атак на цепочку поставок открытого ПО (open source), что стало первыми подобными инцидентами такого рода.

По данным аналитиков Checkmarx, в ходе отдельных кампаний в феврале и апреле злоумышленники загрузили пакеты с вредоносными скриптами на платформу программного обеспечения с открытым исходным кодом npm.

В ходе одной из атак хакер разместил несколько зараженных пакетов со сценариями внутри, которые идентифицировали операционную систему жертвы. В зависимости от того, была ли это Windows, Linux или MacOS, сценарий декодировал другие зашифрованные файлы в пакете. Затем эти файлы использовались для загрузки вредоносного кода на целевой компьютер.

Злоумышленник, загрузивший пакеты, создал поддельную страницу LinkedIn*, на которой он выдавал себя за сотрудника целевого банка. Из-за этого исследователи Checkmarx подумали, что банк может проводить тестирование на проникновение, но в банке заявили, что загруженные npm-пакеты никак не относятся к организации. Хакер также создал индивидуальные серверы управления и контроля (Command and Control, C2) для каждой цели.

В другом инциденте злоумышленник внедрил вредоносный код на страницу входа в онлайн-банк. Полезная нагрузка показала, что киберпреступник определил уникальный идентификатор элемента в HTML-коде страницы входа и разработал свой код для фиксации определенного элемента формы входа, скрытно перехватывая и эксфильтруя данные входа.

Вредоносные пакеты были удалены после их обнаружения исследователями, но эксперты Checkmarx ожидают «устойчивой тенденции атак на цепочку поставок ПО банковского сектора».

Ранее исследователи Checkmarx раскрыли кампанию, в которой киберпреступники нашли способ внедрить свой вредоносный код в пакеты npm, не меняя исходный код . Хакеры использовали S3-бакеты AWS, которые были заброшены их владельцами, и заменили в них бинарные файлы, необходимые для работы пакетов.

Напомним, что российская ИБ-компания F.A.C.C.T. недавно зафиксировала атаки хакерской группировки RedCurl , известной своими активностями в области коммерческого шпионажа и воровства корпоративной информации. Обнаруженные атаки были направлены на один из главных банков России, который был подвергнут кибератакам дважды: первый раз — с использованием специализированных фишинговых писем от имени крупного российского маркетплейса, и второй раз — через подрядчика банка.

Ранее мы сообщали, что в первом квартале 2023 года кредитные организации предотвратили хищения средств на сумму 712 млрд рублей , отразив 2,7 млн операций без согласия клиента. 252,1 тыс. атак оказались успешными, в результате чего было украдено 4,5 млрд рублей. Большая часть жертв были физические лица, которые потеряли деньги в 251,5 тыс. случаях. Корпоративные клиенты банков подверглись 655 атакам, а сами кредитные организации не пострадали от действий хакеров.

* Социальная сеть запрещена на территории Российской Федерации.