Компания Group-IB сообщила об успешной атаке хакеров на один из российских банков. Об этом говорится в отчете компании «Большой куш. Угрозы для финансовых организаций».
В феврале специалистов Group-IB привлекли к изучению инцидента, в результате которого хакеры получили доступ к системе межбанковских переводов АРМ КБР. Это хорошо защищенное приложение, которое позволяет банкам проводить платежи с ЦБ через открытые у него корсчета. Мошенникам удалось подделать часть файлов, и когда банк отправлял платежи в ЦБ, средства с корсчета осели на счетах злоумышленников.
Генеральный директор Group-IB Дмитрий Волков отметил, что хакеры больше года готовились к операции.
Дмитрий Волков гендиректор Group-IB «Любая атака на банк распадается на несколько этапов. Осуществляется достаточно сложный процесс, потому что финансовые организации достаточно защищены. Там хорошие службы безопасности, используются хорошие технологии. И злоумышленникам нужно применять относительно нестандартные подходы. В этом случае они готовились несколько месяцев. Злоумышленники получили доступ в одной из аффилированных организаций. Используя его, они постепенно переходили из одного сегмента сети в другой до тех пор, пока не добрались до инфраструктуры банка. Дальше все сводится к тому, что необходимо определить те рабочие места, от которых осуществляются денежные переводы. Они нашли такие рабочие места и в какой-то момент поняли, что могут похитить средства. Необходимо было подготовить дополнительные банковские счета, на которые нужно было выводить деньги, и в нужный момент по команде они начали подменять реквизиты. Один из самых сложных способов хищений — это когда нужно переводить деньги именно через систему межбанковских переводов. Тем не менее сейчас финансовая отрасль достаточно стабильна, то есть целенаправленные атаки с целью хищения именно из банков минимальны. Одна в год — это говорит о том, что действительно все на самом деле хорошо».
По словам источника РБК, близкого к ЦБ, хакеры смогли украсть более полумиллиарда рублей. Другой источник отметил, что пострадал действующий «не очень крупный банк», не из первой сотни.
Банку России известно об инциденте. По итогам разбора его причин данные передали всем представителям банковского сектора.
В Group-IB считают, что взломать систему могла группа MoneyTaker. Их удалось вычислить благодаря аналогичной схеме кражи более 58 миллионов рублей с корсчета ПИР Банка в ЦБ в 2018 году. Участников группировки пока раскрыть не удалось.
Руководитель отдела киберрисков компании CrossTech Solutions Group Ильяс Киреев считает, что новый взлом — это не простое ограбление.
Ильяс Киреев руководитель отдела киберрисков компании CrossTech Solutions «С 2018 года это один из самых популярных заходов, когда через контрагента попадают в целевую инфраструктуру: как правило, из доверенных сетей, подрядных организаций, которые осуществляют консалтинг на аутсорс. Они имеют легитимный доступ в инфраструктуру жертвы, и злоумышленники этим часто пользуются. С точки зрения статистики, атакуются практически все сегменты экономики. Не только банки, а в том числе промышленные и коммерческие предприятия с целью контроля первых лиц, переписки, вычислительных данных. В том числе какие-то деструктивные действия, связанные с локализацией бизнес-процессов, направленных на остановку бизнеса. Самый главный мотив — финансовый. Это не банальное воровство денег. Детали мы не знаем и их вряд ли раскроют, но по общим критериям можно понять, что лица знакомы с бизнес-процессом взаимодействия кредитных организаций с Центробанком. У них высокий уровень квалификации именно в этом секторе. Возможно, в эту группу лиц могут входить бывшие банковские сотрудники, которые консультировали технических специалистов. Как правило, высококвалифицированные технические специалисты не могут параллельно работать в кредитной организации и управлять финансами. Скорее всего, у злоумышленников был консультант. Зная структуру взаимодействия, они смогли: первое — определить станцию, второе — сформировать платежное поручение. Самое сложное и до сих пор мне непонятное — как они умудрились скомпрометировать открытый и закрытый ключ. Потому что он, как правило, находится на ключевых носителях. Данные ключи достаются из сейфа уполномоченным лицом. И непонятно, как сотрудники банка не смогли детектировать действия злоумышленников с помощью средств кибербезопасности».
По словам экспертов, если в 2017-2018 годах атаки на корсчета в ЦБ проводились чуть ли не ежемесячно, то сейчас риск ниже из-за «большой работы в сфере кибербезопасности банков, регулятора и правоохранительных органов». Однако выросло количество атак через программы, которые зашифровывают всю информацию на сервере и требуют выкуп. Во второй половине прошлого года и первом полугодии 2021 года было совершено порядка 130 подобных атак.