К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Целевые атаки на банки: Россия как тестовый полигон

Фото Getty Images
Фото Getty Images
Доход хакеров от целенаправленных атак на банки перекрыл суммарный заработок от всех остальных способов хищений. Банки стали самой привлекательной мишенью.  Все новые вирусы, программы, шаблоны атак хакеры сначала обкатывали на российских банках, а, потренировавшись, переключаются уже на международные финансовые учреждения. 

Почти 99% всех киберпреступлений в мире, как показывает наш мониторинг,  сегодня связаны с воровством денег. Пусть вас не удивляет столь высокий показатель:  компьютерная преступность стремится к максимальной монетизации и минимальному риску. И атака на банк для  профессиональных киберпреступников с этой точки зрения гораздо интереснее, чем взлом условного оборонного завода.

Целевые атаки представляют для банков сейчас наибольшую опасность — ущерб финансовых организаций от целевых атак в прошлом году вырос почти на 300%.  Одна из атак стоила российскому банку 140 млн рублей, а общая сумма хищений выросла, по нашим оценкам, до 2,5 млрд рублей. Почему же целевые атаки настолько успешны и что банки могут им противопоставить?

Кража на расстоянии 

 

В июле 2016 года к банкомату First Bank на окраине Тайбэя подошел мужчина в маске. Он позвонил кому-то по телефону и банкомат за несколько минут выдал ему все наличные деньги. Тоже самое происходило у четырех десятков других банкоматов First Bank — преступники выпотрошили их почти на $2,2 млн и скрылись.

С таким случаем местные полицеские  сталкивалась впервые:  корпусы банкоматов не были повреждены, накладные устройства — скиммеры — не использовались, у людей в масках с собой не было даже банковских карт. Что же произошло?  Так выглядит финал «логической«  или «бесконтактной» атаки на банкоматы, за которой, по нашим данным, стоит преступная группа Cobalt. Сейчас это одна из самых активных групп, на их счету атаки на банки в 14 странах Европы, Азии (см. справку).

 

Бесконтактные атаки на банкоматы  —  лишь одна из разновидностей целенаправленных атак на банки. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

В феврале 2015 года  впервые в мире троянская программа Corkow (Metel) получила контроль над терминалом для торгов на различных биржевых рынках и выставила заявок на сумму в несколько сотен миллионов долларов.  За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. Инцидент принес российскому банку огромный ущерб, хотя заработали на нем не хакеры, а случайные трейдеры.

Первые масштабные целевые атаки на российские банки мы зафиксировали еще в 2013 году. Если в 2014 году было известно о двух хакерских группах, Anunak и Corkow, проводивших целевые атаки, то в 2015 году их было три  (Anunak и Corkow, Andromeda), а в 2016 году — четыре (Buhtrap, Lurk, Cobalt, MoneyTaker). Объяснение этому простое: группировки, раньше атаковавшие компании — клиентов банков, переключаются на сами банки. Больше денег, меньше рисков.

 

Большинство целевых атак появились в России — все свои новые вирусы, программы, шаблоны атак хакеры сначала обкатывали на российских банках, а, потренировавшись, переключаются уже на международные финансовые учреждения.

В феврале 2016 хакеры попытались похитить из Центрального банка Бангладеш $951 млн через систему международных межбанковских переводов SWIFT. Из-за ошибки в платежном документе им удалось украсть только $81 млн. За атакой, как показали исследования, стоит северокорейская группа Lazarus. Долгие годы она была известна акциями против идеологических противников КНДР — DDoS-атаками и взломами ресурсов государственных, военных, аэрокосмических учреждений в Южной Корее и США. Но за прошедший год северокорейские хакеры, похоже, сильно поиздержались: и нападению с их стороны подверглись десятки финансовых организаций по всему миру.

Мы также долго наблюдали над тем, хакеры другой группировки на форумах долго искали специалистов по SWIFT и международным переводам. Один из участников форума утверждал, что в его бот-сети были компьютеры, входящие в сети немецких банков и с доступом к SWIFT. Недавняя успешная атака на российский банк с АРМ КБР (автоматизированное рабочее место клиента Банка России) подтвердила, что в распоряжении злоумышленников есть инструмент для автоматической подмены платежей в системе межбанковских переводов. После определенной адаптации он может быть использован для атак на системы SWIFT в любой точке мира.

Финансовая инфраструктура привлекает не только киберпреступников. После того как группа Shadow Brokers  (подробнее об их атаках  -в материале Forbes) поделилась данными из утечки от Equation Group – хакеров, которых связывают связывают с АНБ — Агентством национальной безопасности США, стало ясно, что спецслужба, вероятно, имела доступ к SWIFT и контролировала различные финансовые проводки между банками на Ближнем Востоке и в Латинской Америке. Эксперты не исключают, что АНБ не только следило, но и могли вмешиваться в финансовые транзакции, проводимые террористическими группировками.

Есть и еще одна опасность целевых атак. Шаблон успешной атаки на банк может быть использован для шпионажа или кибертерроризма. Например, для проникновения в сети промышленных и энергетических предприятий, получения доступа к системам управления объектами критической инфраструктуры. По  аналогичному сценарию группа Black Energy в прошлом году атаковала киевский аэропорт Борисполь и украинские энергосети. Давайте разберем, как происходит целевая атака.

 

Механика целевой атаки 

По большому счету, реализация целевой атаки не требует ни особого опыта, ни уникальных программ.  Взломщики используют готовые инструменты, купленные на подпольных хакерских форумах.  Или бесплатные легальные программы, доступные любому.

Проникновение и заражение. Самый распространенный способ проникновения в банковскую сеть — это заражение компьютера рядового сотрудника с помощью фишингового письма с вредоносным вложением (трояном), замаскированным под обычный документ или запароленный архив.

Преступники идут на разные уловки, чтобы банковский клерк открыл это вложение. В 2015 году сотрудники одного из российских банков получали на рабочую почту рассылку о вакансиях в Центробанке.  В 2016 году группа  Cobalt отправляла фишинговые письма  от лица Европейского центрального банка («The rules for European banks.doc») или производителя банкоматов Wincor Nixdorf.  Сделать такое вложение c эксплойтом можно с помощью готовых инструментов (virus creation kits), а для отправки исполняемого файла не требуется никаких специальных средств —  обычный почтовый клиент.

 

Удаленный доступ. Заражение одного компьютера в корпоративной сети открывает взломщикам дверь в периметре защищенной банковской системы. При помощи бесплатных программ  (TeamViewer, Ammy Admin, VNC, Light Manager) злоумышленники получают удаленный доступ в сеть банка. Затем извлекают логины и пароли из оперативной памяти зараженного компьютера. Например, исходный код одного их таких инструментов — утилиты Mimikatz — опубликован на одном из ресурсов и доступен всем желающим.

Поиск целей. Получив привилегии администратора домена, взломщики начинают исследовать внутреннюю сеть банка — их  целями могут быть системы межбанковских переводов, системы мгновенных переводов для физических лиц, сети управления банкоматами, платежные шлюзы, карточный процессинг. Обнаружив свою цель, взломщики с помощью фото и видео-съемки с подконтрольных компьютеров отслеживают действия операторов банка. Это нужно для того, чтобы впоследствии повторить их шаги и отправить деньги на подконтрольные счета. Более продвинутые группы используют готовые инструменты для модификации платежных документов – простые скрипты или исполняемые файлы, повторяющие работу скриптов, которые автоматизируют формирование мошеннических платежей.

Обналичка. Обналом занимаются специальные профессиональные команды — за свои услуги они берут около 50% от суммы хищения. Для вывода и обналичивания используются «дропы» или «мулы» — низшее звено в преступной иерархии.  Их могут организованно привезти в любой город, чтобы снять деньги.  За границей — это чаще всего «туристы», которые после окончания операции покидают страну

Быть на шаг впереди  

 

Почему целевые атаки столь успешны? Основная причина — плохая осведомленность самих банков о шаблонах и тактике проведения целевых атак на финансовый сектор. Они не понимают, как именно реализуются атаки, и поэтому не могут выработать адекватные меры противодействия.

Количество целевых атак на банки будет только расти. Получив успешный опыт в атаках на банки России и Украины, хакеры будут уходить в другие регионы мира. Мы видим, что преступники настойчиво ищут инсайдеров в банках для сбора информации и организации первичного заражения. Поэтому важно, чтобы банки тщательнее отбирали своих сотрудников и регулярно проводили обучение персонала. Это касается не только тренингов по вопросам целевых атак,  фишинга и социальной инженерии, но и «боевых учений» — банкам нужно самим периодически имитировать целевые атаки, фишинговые рассылки.

Вторая причина успеха целевых атак  — излишняя вера  компаний в то, что стандартные средства защиты, такие как лицензионный и обновленный антивирус, последняя версия операционной системы, использование межсетевых экранов (Firewall)  или средств предотвращения утечек (DLP), остановят злоумышленников на одном из этапов развития атаки. Это не так.

Расследования инцидентов показывают, что на зараженном компьютере практически всегда была установлена антивирусная защита популярных антивирусных производителей, а инфраструктура организации достаточно хорошо защищена системами обнаружения вторжений и другими техническими и программными средствами.

 

Когда файл летит по почте, антивирус может сделать быструю проверку, но она не позволяет понять функционал файла, вредоносный он или нет. Чтобы это понять, лучше использовать «песочницы» — системы проактивной защиты от целевых атак и попыток проникновения. Доставка почты может быть менее оперативной, но зато проверка более качественной — она  позволяет понять, вредоносный файл или нет. Среди таких песочниц можно порекомендовать  продукты компании FireEye, Dr.Web Katana (Group IB, компания автора, также поставляет систему TDS Polygon — Forbes)

100% гарантии защиты от целевых атак на банки не существует, но снизить риски и повысить эффективность защиты банков вполне возможно. Лучше всего это позволяет сделать  Threat Intelligence (Киберразведка) — система сбора, мониторинга и анализа информации об актуальных угрозах, преступных группах, их тактике, инструментах.  Услуги Intelligence-компаний востребованы зарубежными, а в последнее время и российскими банками.  Например, у крупного английского банка восемь (!) поставщиков данных Threat Intelligence. Одни Intelligence-компании специализируются на уязвимостях «нулевого дня». Другие — на кибертерроризме. Третьи — на китайских хакерах. Если информация об угрозах подтверждают два источника — к ней больше доверия, а если три — это еще лучше.  Для того, чтобы объединять и анализировать данные разных источников используются  threat intelligence платформы -TIP.  Подписчики сервиса киберразведки могут  узнать о тактике и механике атак заранее,  что позволит вовремя остановить атаку, полностью очистить сеть и закрыть атакующим доступ. В общем, быть на шаг впереди хакеров — значит сохранить свои деньги. 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+