За 2016 год хакеры украли у банков и их клиентов более 2 млрд рублей

После взлома важных IT-ресурсов банка злоумышленники не торопятся брать все, что плохо лежит. Напротив, они чувствуют себя в полной безопасности и могут месяцами ждать серьезной компенсации за свои старания, чтобы потом красиво «раствориться в воздухе». Российские банки, как правило, не замечают подозрительных событий, свидетельствующих о проникновении, и очень редко проводят глубокие самостоятельные расследования. Причина зачастую банальна: ИБ-департаменты не любят обращаться за посторонней помощью, опасаясь критики со стороны руководства. При этом собрать команду квалифицированных экспертов по мониторингу и реагированию на инциденты (SOC) в отдельно взятом банке бывает очень сложно. Атакующих, разу­меется, такая ситуация вполне устраивает.

Подождите, мы еще не все украли

В прошлом году в небольшом банке произошла кража достаточно внушительной суммы. Способ — подмена реквизитов платежного поручения — является распространенным сегодня вектором хищения, вгоняющим в дрожь бухгалтеров тысяч российских компаний: попробуй потом доказать банку, что подмену реквизитов осуществил кто-то другой. Но и сами финансисты страдают от этой проблемы. Для атаки применяются фишинговые сайты, специальные трояны для 1C и прочие методы.

Итак, финансовая организация попросила нас разобраться в происшествии. Непосредственно во время первичного анализа пожаловали «гости»: злоумышленники, только что укравшие немалую сумму, заходили на второй круг, деловито подключаясь к тому же серверу посредством приложения для удаленного управления компьютером. Они быстро поняли, что сервер анализируется экспертами, и попытались избежать обнаружения, но было уже поздно. Мы оперативно блокировали доступ преступников к системам банка и предотвратили дальнейшие потери. Если бы не эта случайность, деньги продолжали бы выкачиваться еще долго.

В отпуск со спокойной душой

Атаку часто можно поймать на ранней стадии. В октябре 2016 года мы расследовали ситуацию2, произошедшую в одном из банков Восточной Европы: за ночь из шести банкоматов финансовой организации была похищена сумма, эквивалентная 2,2 млн рублей в местной валюте.

Для поиска слабых мест в защите банка преступники использовали коммерческий пакет Cobalt Strike. В состав данного набора, который применяют специалисты по информационной безопасности для осуществления пентестов, входит многофункциональный троян Beacon класса RAT (Remote Access Trojan), способный удаленно управлять системами, загружать и скачивать файлы, повышать привилегии, проксировать трафик, сканировать сети.

Как выяснилось, атака началась в середине лета. Целый месяц на различные адреса банка целенаправленно рассылались электронные писем с вредоносным ПО от лица якобы коллег из других банков. Темы писем фишинговых рассылок могли имитировать финансовую корреспонденцию, письма от службы ИБ и др.

В начале августа усилия преступников принесли плоды — один из сотрудников запустил файл documents.exe из RAR-архива, присланный по электронной почте. Однако через полчаса он выключил ПК и ушел в отпуск. В результате хакерам пришлось ждать более двух недель, чтобы продолжить атаку в инфраструктуре банка.

У банка было много времени, чтобы обнаружить атаку на ранней стадии. Преступники не использовали уникальные самописные приложения и уязвимости нулевого дня. К примеру, для удаленного управления применялась легитимная бесплатная программа Ammyy Admin и другие распространенные программы: Mimikatz, PsExec, SoftPerfect Network scanner, Team Viewer. Отсутствие мониторинга событий безопасности и людей, способных заметить факт компрометации сети, стало причиной того, что зародившийся в июле инцидент был выявлен только в октябре — после кражи денег.

В первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и осуществили кражу денежных средств. Оператор отправлял команду на банкоматы, а «дропы» (подставные лица) в условленный момент подходили к устройству и просто забирали все деньги.

На последнем этапе члены группировки чувствовали себя в банковской сети практически, как дома. Все манипуляции проводились ночью, и преступники ни о чем не волновались. Единственной преградой для получения более внушительной суммы стали ошибки во вредоносном ПО, которые приводили к сбоям в работе самого банкомата. Злоумышленники готовы были рискнуть и потратить дополнительное время, чтобы решить проблему. В течение двух часов они пытались что-то сделать, но в итоге сдались. Однако все же унесли с собой более 2 млн рублей.

QR-код для защиты от чужаков

Весной прошлого года мы обнаружили вредоносное приложение Green Dispenser на одном из банкоматов крупного банка. Троянская программа по команде осуществляла выдачу наличных из диспенсера.

Во время анализа было обнаружено несколько интересных особенностей. Зловредное приложение работало ограниченное время — всего две недели, а потом гарантированно удалялось с банкомата, практически не оставляя следов. Вредоносное ПО могло отображать фальшивое сообщение о неработоспособности банкомата.

Примечательно, что пароль был не единственной помехой для получения наличных. На случай, если образец попадет в руки конкурентам или исследователям, разработчики предусмотрели дополнительную аутентификацию подельников, чтобы кто-то другой не обчистил банкоматы. Троянская программа генерировала QR-код, а злоумышленник, сканируя его специальным мобильным приложением, получал еще один пароль, после чего ему открывался доступ к банкомату и выдаче денег.

Что делать?

По оценкам наших экспертов количество атак на финансовый сектор в 2017 году вырастет как минимум на 30%. Под ударом окажутся все системы отрасли — от процессинга и ДБО до АБС, SWIFT, межбанковских переводов, банкоматов, мобильных платежных систем и терминалов.

На наш взгляд, негативная динамика имеет две основные причины. Во-первых, финансовые организации пренебрегают регулярным аудитом защищенности, несмотря на то что тестирование устойчивости к атакам могло бы сэкономить средства, в том числе на программное обеспечение. Во-вторых, банки применяют устаревшие подходы к ИБ, рассчитывая на защиту «из коробки» от инструментов, которые не способны противостоять современным сложным атакам, направленным зачастую не на уязвимости, а на недостатки бизнес-логики.

Приведу пример, как правильно настроенный продукт мог бы помочь финансовой организации сохранить деньги. Инцидент с Cobalt показал, что, несмотря на стремление нарушителей скрыть свои действия, антивирусное ПО на протяжении месяца выявляло вредоносную активность на различных узлах банка, сигнализируя, в частности, о подозрительном использовании легитимного ПО Ammyy Admin. При наличии системы базового мониторинга существующих средств защиты, например, с помощью функционирующей системы SIEM1, которая приоритизировала бы события из журналов антивирусов и других средств ИБ, хищение денег можно было бы предотвратить.

1 Компания Positive Technologies более 14 лет занимается расследованием инцидентов в финансовых организациях.

2 Подробнее — в отчете «Cobalt — новый тренд или старый знакомый?» по адресу https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf

Реклама