Брать по-крупному: группировка хакеров ограбила более 50 банков
Более пятидесяти банков и пять платежных систем на территории России и стран бывшего СССР подверглись атакам киберпреступников из группы Anunak, следует из отчета российской Group-IB, специализирующейся на расследовании киберпреступлений, и голландской Fox-IT, компании-эксперта в области технологий информационной безопасности. Всего за неполные два года преступникам удалось похитить около 1 млрд рублей — мишенью хакеров стали сами банки, а не их клиенты.
Как считают авторы отчета, костяк Anunak составляют выходцы из разгромленной в России группировки Carberp, которая специализировалась на кражах денег из ДБО — систем дистанционного банковского обслуживания. После нынешних краж возбуждено уже несколько уголовных дел, но арестов пока не было — ключевые участники преступной группы скрываются на Украине.
«Группа работает профессионально, и доказать вину отдельных людей крайне непросто, — замечает руководитель Group-IB Илья Сачков. — Тем более в некоторых банках процессу обеспечения информационной безопасности уделяется недостаточно внимания, и выявить действия злоумышленников бывает практически нереально».
Социальная инженерия
Вечером 24 июня 2014 года служащий одного из российских банков получил на корпоративную почту письмо за подписью службы поддержки Центробанка. В нем был вложенный файл и приписка, что в соответствии с федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» всем сотрудникам кредитных и финансовых организаций необходимо ознакомиться с вложенным документом. Никаких подозрений письмо, присланное с адреса "support@cbr.msk.ru", у получателя не вызвало, и сотрудник распаковал файл. Спустя несколько недель со счета банка была списана крупная сумма.
Это один из примеров того, как киберпреступники из группы Anunak заражали компьютеры жертв одноименным трояном и получали доступ к информации. Еще рассылались письма от реальных партнеров (для этого сначала взламывались их компьютеры) или потенциальных клиентов. Причем, согласно отчету, иногда перед отправкой письма преступники звонили жертвам для большего доверия. Кроме того, хакеры из группы Anunak активно сотрудничали с владельцами бот-сетей, в которые входили компьютеры финансовых и госучреждений.
После заражения компьютера рядового сотрудника финансовой организации злоумышленники пытались получить доступ к системам банка. Для этого использовалось около семи вредоносных программ, с помощью которых можно было получить пароли, просканировать локальную сеть или установить удаленный контроль. Среднее время от попадания в сеть финансовой организации до вывода средств составляло 42 дня, говорится в отчете. В среднем группа Anunak выводила около $2 млн.
Деятельность Anunak — пример тренда, о котором эксперты по информационной безопасности — Group-IB, «Лаборатории Касперского» — уже неоднократно предупреждали:
хакеры все чаще будут атаковать не клиентов банков, а сами финансовые учреждения.
По информации Forbes, атакам, в частности, подвергались Интерактивный банк, Инвестторгбанк, OTП Банк. В последнем финансовом учреждении Forbes заявили, что им известно об атаках на крупные банки во втором полугодии 2014 года, но в самом банке не фиксировали никаких инцидентов с использованием вредоносного ПО Anunak и попыток вывода крупных сумм. «В связи со сложившейся ситуацией ОТП Банк постоянно проводит мониторинг вредоносной активности и подозрительных транзакций, а также принимает другие необходимые меры для защиты от мошенников», — заявили в банке. В Интерактивном банке и Инвесторгбанке на вопросы не ответили. В ЦБ Forbes заявили, что предупреждали о подобных видах мошенничества с использованием рассылок якобы от Банка России еще в 2012 году и в случае появления подробных инцидентов рекомендовали обратиться в МВД.
Когда расследования российской Group-IB и голландской Fox-IT объединились? Во втором квартале 2014 года группа Anunak начала свою деятельность в Европе. Однако там преступники выбрали другой профиль: они атаковали торговые сети — в частности, POS-терминалы для оплаты на кассах. Такого рода жертвы пользуются интересом у хакеров. Например, в конце 2013 года после атаки на крупного американского ритейлера злоумышленники смогли скомпрометировать данные нескольких десятков миллионов клиентов. Тогда в атаке также подозревали русских хакеров. Однако пока нет ни одного явного случая успешной атаки группы Anunak на европейские банки.
Зато хакеры из Anunak атаковали в Европе медийные и PR-компании. Авторы отчета подозревают, что это может быть связано с промышленным шпионажем. «Любая информация стоит денег. Кроме того, надо понимать, что они свободно получают доступ в одни из самых защищенных сетей. Такой опыт привлекает внимание многих спецслужб. Далее без комментариев», — говорит Дмитрий Волков, руководитель отдела расследований Group-IB.
Дропы из глубинки
Одной из первых удачных атак группы Anunak стало нападение в январе 2013 года на один из российских банков. Потерпевшие обратились в Group-IB (по действующему NDA название клиента не раскрывается). На тот момент в компании знали о восьми киберпреступных группах в России, занимающихся хищениями у юридических лиц через системы ДБО. Три из них перестали работать с российскими банковскими системами: две — переключились на иностранные банки, а одна распалась в 2014 году после задержания лидера. Активных преступных групп, продолжающих деятельность по банкам России и СНГ, осталось пять. «Мы сразу поняли, что имеем дело с новой группой», — замечает Волков.
Костяк Anunak составили выходцы из группировки Carberp. От ее действий пострадали клиенты 100 банков по всему миру, только за три первых месяца 2012-го киберпреступники похитили минимум 130 млн рублей. После задержаний в марте 2012 года некоторых участников Carberp (часть успели скрыться, часть позже были освобождены), оставшиеся на свободе хакеры недолго оставались без работы. Они сменили тактику и в качестве целей выбрали крупные финансовые структуры — банки и платежные системы. «Они быстро поняли, что могут красть не тысячу раз по $2000, а сразу всю сумму да еще с гораздо меньшими усилиями», — говорит Волков. По его словам, в России и СНГ они первые, кто начал действовать по такой схеме и, главное, поставил это на поток.
Согласно отчету, возглавляет группу человек, осведомленный о методах работы правоохранительных органов. «Никакого отношения к правоохранительным органам он сам лично не имеет, но, возможно, у него были хорошие консультанты», — замечают в Group-IB. У организатора есть два постоянных партнера, которые, получая доступ в сеть банков и платежных систем, осуществляют непосредственную атаку, и администратор серверов.
Как выводятся деньги после удачной атаки? При сумме до 100 млн рублей преступники перечисляли деньги из банка на счета сторонних организаций, затем от каждой такой организации деньги перечислялись на счета других фирм (могло быть несколько таких итераций). Если речь шла о сумме больше 100 млн рублей, то деньги переводились в другой банк. Использовались и переводы на счета в различных электронных платежных системах, вроде «Яндекс.Денег» и Qiwi. Кроме того, хакеры научились получать доступ к банкоматам и, управляя диспенсером, опустошать их в момент максимальной загрузки. «Для этого в нужный момент рядом с банкоматом должен был оказаться человек с пустой сумкой», — говорится в отчете.
Подобным образом, например, обокрали банкоматы одного из украинских банков. Преступники получили доступ к правам администратора внутренней сети банка, в том числе управляющей сетью банкоматов, что позволило внедрить в банкомат вредоносный код, управляющий диспенсером.
«Потрошение банкоматов проводилось бесконтактно: удаленный оператор «нажимает кнопочку», а человек, стоящий у нужного банкомата, подставляет мешок к его щели выдачи, деньги сами вылетают из банкомата», — рассказывает Константин Корсун, экс-офицер подразделения по борьбе с хакерами Службы безопасности Украины (СБУ).
На группировку Anunak работает несколько команд обнальщиков. Весной 2014 года таких команд было две, но к осени 2014-го, когда возросло число атак, команд стало пять. Каждая группа состоит из 15-20 человек (дропов), и они работают в разных городах. При этом обнальщики используют мигрантов из бывших республик Советского Союза, которые в срочном порядке могут приехать в нужный город. В отчете отмечается, что часть денег после хищений перенаправлялась в Белоруссию и Украину.
Сейчас поимкой группы Anunak занимаются службы безопасности банков, МВД, ФСБ и зарубежные правоохранительные органы. Сидя на Украине, киберпреступники пользуются моментом, что у руководства СБУ и МВД сейчас в связи с ситуцией на Юго-Востоке Украины есть задачи поважнее, считает бывший сотрудник СБУ. «Сейчас невозможно представить взаимодействие СБУ и ФСБ по линии противодействия киберпреступности, хотя, возможно, такие контакты поддерживаются, сотрудничество ведется медленно, формально, сугубо неэффективно, но ведется», — полагает Корсун.