Вступить в наш чат

Давайте разберемся, кто стоит за группировкой хакеров, прозванными самыми аккуратными мошенниками в мире.

Кто такие Silence Group

У команды Silence есть две четкие роли: оператор и разработчик. Предположительно, Оператор является лидером группы. Он действует как тестировщик, который обладает глубокими знаниями инструментов для проведения тестирования на проникновение в банковские системы. Эти знания позволяют группе легко ориентироваться внутри банка. Именно оператор получает доступ к защищенным системам внутри банка, а затем осуществляет кражу.

Разработчик является квалифицированным реверс-инженером. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные эксплойты и стороннее программное обеспечение. Кроме того, разработчик обладает достаточными знаниями о процессах, системах ATM и имеет доступ к непубличным образцам вредоносных программ, которые обычно доступны только охранным компаниям.

Отличительной особенностью Silence является их нетипичная ролевая структура и небольшой размер. Оказывается, в эту русскоязычную группу входят всего два человека.



Как и в большинстве финансово мотивированных APT-групп, члены Silence являются русскоговорящими, о чем свидетельствует язык команд, приоритеты в размещении арендуемой инфраструктуры, выбор русскоязычных хостинг-провайдеров и местоположение целей.

Команды троянца Silence - это русские слова, набранные с использованием английской раскладки:

htrjyytrn > реконнект (повторное подключение) htcnfhn > рестарт (перезапуск) ytnpflfybq > нетзадач (нет задач)

Основные цели находятся в России, хотя фишинговые электронные письма были отправлены сотрудникам банков более чем в 25 странах Центральной и Западной Европы, Африки и Азии.

Для аренды серверов Silence использует русскоязычных хостинг-провайдеров.

Преступления самых аккуратных хакеров

Успешные атаки Silence в настоящее время были ограничены странами СНГ и Восточной Европы. Их основные цели расположены в России, Украине, Беларуси, Азербайджане, Польше и Казахстане.

Однако некоторые фишинговые электронные письма были отправлены сотрудникам банка более чем в 25 странах Центральной и Западной Европы, Африки и Азии.



Хронология атак

Июль 2016 — хакерам не удалось вывести деньги через российскую AWS CBR. Сотрудники банка быстро заметили подмену документов и залатали дыру в системе.

Август 2016 — всего за месяц хакеры снова получили доступ к системам AWS CBR. На этот раз банк попросил Group-IB отреагировать на инцидент. Атака была остановлена. Однако полный журнал инцидента восстановить было невозможно, поскольку в попытке очистить сеть ИТ-команда банка удалила большинство следов злоумышленника.

Октябрь 2017 года — наконец удачная кибератака. На этот раз Сайленс атаковал банкоматы и украл более 100 000 долларов всего за одну ночь. В том же году они провели DDoS-атаки с использованием IRC-бота Perl и общедоступных IRC-чатов для контроля троянов. После неудачной попытки с системой межбанковских транзакций в 2016 году преступники не пытались вывести деньги с помощью системы, даже получив доступ к серверам AWS CBR.

Февраль 2018 — успешная атака с использованием обработки карт. Они сняли более 550 000 долларов через банкоматы банка-партнера.

Апрель 2018 — через два месяца группа вернулась к своему проверенному методу и снова сняла средства через банкоматы. За одну ночь они выкачали около 150 000 долларов. На этот раз инструменты Silence были значительно изменены: они не были обременены избыточными функциями и стабильно работали без ошибок.

Что с Silence сейчас

На момент 2023 года хакеры так и не были пойманы, что говорит об их исключительной системе безопасности. На сегодняшний день расследование продолжается, но с 2018 года нет официальных заявлений или отчетов об активности Silence. Команда полностью оправдывает своё название — "Тишина".