СЕМЬ РАЗ ОТМЕРЬ, ОДИН РАЗ УКРАДИ

Преступники провели «тренировочную атаку» на восточноевропейский банк. Приготовиться российским.

Объектом нашего профессионального интереса стал компьютерный инцидент, связанный с хищением более 2 млн рублей за одну ночь из нескольких банкоматов одного банка. Для успешной атаки злоумышленники группировки Cobalt — а именно ее мы считаем причастной к этому происшествию — не применяли какие-то хитроумные техники, 0-day-уязвимости или дорогостоящее ПО. Они использовали самые распространенные недостатки корпоративных информационных систем: избыточность привилегий пользователей, пробелы антивирусной защиты, проблемы сегментации сети и мониторинга событий безопасности.

Кроме того, для проникновения во внутреннюю сеть использовался ставший уже «классическим» метод — рассылка фишинговых писем по электронной почте. В данном случае важную роль сыграл человеческий фактор — недостаточная осведомленность сотрудников банка в вопросах информационной безопасности. Все перечисленные проблемы можно встретить в той или иной мере практически в каждой организации, будь то банк, IT-компания или промышленная корпорация. Поэтому реализованная атака изначально имела высокий шанс на успех.

Для выемки денег из банкоматов преступники просто отправляли специальную команду на зараженное устройство, а так называемый дроп (наемное подставное лицо) забирал деньги в нужный момент.

Выявленная атака была похожа, скорее, на тренировку преступников и отработку их инструментов и техник. С момента проникновения в инфраструктуру до кражи денег прошло порядка трех месяцев. Действовали нарушители, практически не скрываясь, используя распространенное общедоступное ПО (каким пользуются эксперты по безопасности при проведении легальных тестов на проникновение).

Вполне вероятно, после устранения всех недостатков нарушители переключатся на более крупные банки. Скорее всего, их первоочередными целями станут средние и крупные банки России, так как следы, оставленные нарушителями, свидетельствуют о явной нацеленности преступной группы на российский сегмент. При этом страны Западной Европы в не столь отдаленном будущем также могут оказаться под угрозой.

Рассмотренный пример далеко не единственный — атаки на банки в 2016 году происходили регулярно, однако не все афишировали информацию о том, что стали жертвами киберпреступников, ведь это могло существенно снизить доверие вкладчиков. Среди наиболее известных атак можно выделить деятельность групп Carbanak, Lurk, Metel, Buhtrap и других, часть которых активизировались еще в 2015-м. Только в России суммарный ущерб банков от кибератак в 2016 году, по версии ЦБ, составил более 2 млрд рублей.

Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь для галочки, ради формального соответствия требуемым стандартам.

По нашим оценкам, пропорциональное соотношение атак на пользователей банковских услуг и непосредственно на банковскую инфраструктуру составляет примерно 60 к 40 в целом по миру и 40 к 60 в России. Связано такое различие в первую очередь с недостаточно высоким уровнем развития услуг в банковском секторе нашей страны, а также с тем фактом, что многие до сих пор предпочитают не хранить крупные суммы на карточных счетах. Это и заставляет нарушителей переключать свое внимание на счета юридических лиц или же на сам банк.

Если говорить про опасность подобных атак для клиентов банков, преувеличивать угрозу не стоит. Не нужно бежать и обналичивать вклады, блокировать карты и поднимать панику. Естественно, безопасность сбережений вкладчиков напрямую зависит от безопасности банка. Но все же целью преступников в большей степени является капитал самой финансовой организации, так как это существенно больший куш.

Кроме того, эксперты в области информационной безопасности также не сидят сложа руки. Не только расследуют компьютерные инциденты по фактам уже случившихся атак, но и передают полученные знания — так называемые индикаторы компрометации — в ФинЦЕРТ

Информация о применяемых злоумышленниками тактиках и инструментах распространяется ФинЦЕРТом между финансовыми организациями в целях пресечения подобных атак в будущем. Банки получают возможность применить превентивные меры защиты еще до того, как станут целью преступников. Таким образом, мы стараемся максимально усложнить задачу злоумышленникам и повысить безопасность не только атакованного банка, но и других финансовых организаций. Банкам же стоит учиться на чужих ошибках и уже сегодня обратить особое внимание на безопасность собственной инфраструктуры. Ведь завтра они могут оказаться очередной мишенью для злоумышленников.