Иллюзия контроля

Хакеры меняют стратегию. Среди них все меньше искателей истины, и все больше — денег. Как банкам защититься от этой угрозы? Долой романтику, даешь доход Прошли романтичные 1990-е, когда американский школьник Джонатан Джеймс и шотландский сисадмин Гэри Маккиннон взламывали сайт NASA, чтобы найти доказательства существования инопланетян. Сейчас хакеров все больше интересуют деньги. Много денег. Где их взять? Конечно, в банке. Банки. ру писали, как проправительственные политические хакеры из Северной Кореи переключились с военных министерств США и Южной Кореи на Центробанк Бангладеша. Кибермошенники, раньше атаковавшие клиентов банков (будь то, например, торговые сети или непосредственно физлица), сейчас все чаще переключаются на на сами банки. Больше денег, меньше рисков. Новость Именно целевые атаки сейчас представляют для банков наибольшую опасность — ущерб финансовых организаций от целевых атак в прошлом году вырос почти на 300%. Одна из таких атак стоила российскому банку 150 млн рублей, а общая сумма хищений выросла до 2,5 млрд рублей, посчитали в Group-IB — компании, занимающейся предотвращением и расследованием киберпреступлений. В этом году тенденция продолжится. Готовы ли к этому наши банки? Расширяя горизонты «Первые масштабные целевые атаки на российские банки мы зафиксировали еще в 2013 году, — говорит руководитель направления киберразведки Threat Intelligence, со-основатель Group-IB Дмитрий Волков. — Если в 2014 году было известно о двух хакерских группах, Anunak и Corkow, проводивших целевые атаки, то в 2015 году их было три, а в 2016 году — уже четыре». Киберпреступники все чаще стали использовать международную банковскую систему SWIFT для перевода украденных денег. Первая атака случилась несколько лет назад, но за это время хакеры наработали практику, обросли опытом и теперь подобные удары стали происходить все чаще. Именно SWIFT был задействован при взломе Центрального банка Бангладеш. А в прошлом году 10 млн. долларов были похищены через SWIFT в одном из банков Украины. Информацию об инциденте распространила Information Systems Audit and Control Association (ISACA), однако название банка и подробности атаки не раскрывались. Хакеры и их фантазии Изобретательность хакеров развивается по двум направлениям: можно повышать cвои технические возможности, а можно правильно подойти к выбору жертвы. В качестве второго подхода в «Лаборатории Касперского» вспоминают группу хакеров, которые грабили компании, занимающиеся содействием в уходе от налогов. «В точности следуют лозунгу «грабь награбленное» — крадут деньги со счетов таких организаций, и при этом ведь никто не пойдет жаловаться. Находчиво», — говорит руководитель глобального подразделения по исследованию и анализу мошенничества «Лаборатории Касперского» Денис Горчаков. Но, конечно, такие компании не могут удовлетворить финансовые аппетиты всех хакеров, поэтому им постоянно приходится «расти над собой». В феврале 2015 года впервые в мире троянская программа Corkow (Metel) получила контроль над терминалом для торгов на различных биржевых рынках и выставила заявок на сумму в несколько сотен миллионов долларов. «За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. Скачок курса доллара по отношению к рублю составил почти 20%, — рассказывает Дмитрий Волков. — Инцидент нанес российскому банку огромный ущерб — 224 млн рублей, или 4 млн долларов, хотя заработали на нем не хакеры, а случайные трейдеры». Цитата Но это, скорее, курьезный случай. Хакеры активно работают не только над тем, как больше украть, но и над тем, чтобы как можно дольше оставаться незамеченными. «Недавно мы расследовали дело о мистическом исчезновении денег из банкоматов, — рассказывает Горчаков. — Деньги исчезли, а следов физического повреждения банкомата или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома». В начале расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО. «Расследование показало, что вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать, — объясняет Горчаков. — Непосредственно в банкомате зловред вел себя как легитимное программное обеспечение, выполняя вполне привычные для устройства команды и операции. Например, запрашивал информацию о количестве банкнот в кассетах». Получив контроль над банкоматом, хакеры могли снять из него деньги в любой момент — буквально, нажав одну клавишу. Выпотрошить банкомат удавалось за считаные секунды, а по окончании операции вирус самоудалялся из банкомата. Русские хакеры: расстановка сил По словам Дмитрия Волкова, в настоящий момент наибольшую опасность для банков представляют следующие русскоязычные группировки хакеров. Anunak Цели: Системы межбанковских переводов, системы мгновенных переводов для физических лиц, сети управления банкоматами, платежные шлюзы, карточный процессинг, POS-терминалы, трейдинговые платформы, гос структуры. Чем известна: совершила первые успешные целевые атаки на банки в России. Самая опытная группа, в 2013-2014 году атаковавшая более 50 российских банков и 5 платежных систем, похитив в общей сложности более 1 млрд рублей (около 25 млн долларов). Статус: Начиная с 2015 года не совершила ни одного успешного хищения на территории России, но их троян еще используется для атак на компании за пределами СНГ. Buhtrap Цели: Системы межбанковских переводов. Чем известна: Образец успешной переориентации группы, занимавшей лидирующие позиции по объему хищений у юридических лиц. С августа 2015 по февраль 2016 года совершила 13 успешных атак на российские банки, похитив 1,8 миллиарда рублей (25 млн долларов). В двух случаях сумма хищений в 2,5 раза превзошла уставной капитал банка. Статус: приостановила атаки на банки, продолжаются хищения у юридических лиц с помощью бот-сети, проданной другим атакующим. Цели: Системы межбанковских переводов. Чем известна: Разработала один из самых продвинутых троянов для хищений у юридических лиц, позволявший незаметно для пользователя подменять реквизиты и сумму платежа в системах интернет-банкинга, а также обходить SMS-подтверждение платежей. В феврале 2015 года похитила 150 млн рублей (2,3 млн долларов) из российского банка, после этого совершила еще две неудачных попытки атак в России и на Украине. Статус: Часть участников преступной группы были задержаны в мае 2016 года. Cobalt Цели: сети управления банкоматами, карточный процессинг. Чем известна: Cobalt успешно атаковал банки в в 14 странах мира — России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии. Для проникновения во внутреннюю сеть банка используется точечная рассылка фишинговых писем с вредоносным вложением. Минимальное время, за которое Cobalt может получить полный контроль над сетью банка — 10 минут. Статус: Интерпол сообщил о задержании пяти человек, связанных с группой Cobalt. За решеткой оказались «мулы» – люди, которые забирают деньги из банкоматов и передают их организаторам обнала. «Мулы» — это низшая ступень преступной иерархии в Cobalt, поэтому угроза новых атак по-прежнему актуальна. Российские банки как полигон для хакеров Насколько готовы противостоять хакерам российские банки? Почти два года назад, в июне 2015 года, Банк России создал новое профильное подразделение — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, или FinCERT. К сожалению, Банк России оставил без ответа запрос Банки.ру об оценке защищенности финансовых компаний в стране и об устойчивости российской банковской системы перед киберпреступностью. «В целом видно, что к сложным вызовам большая часть банков не готова», — оценивает состояние российской банковской системы со-основатель Group-IB Дмитрий Волков. Сами банкиры оценивают ситуаци. по-другому: нельзя сказать, что российские банки менее защищены от хакерских атак, чем их коллеги из-за рубежа. «Дело в том, что российские банки куда чаще сталкиваются с хакерскими атаками, чем банки Европы, правда масштабы бывают куда менее заметными, — говорит председатель наблюдательного совета АО Банк «Воронеж» Мурад Салихов. — Если банки ЕС и США тут же отсчитываются перед регуляторами от атаках, даже самых небольших, российские банки предпочитают не выдавать всю информацию сразу, поскольку в текущих условиях любой негативный информационный повод может стать причиной массового оттока вкладов». Именно поэтому хакеры часты используют банки РФ как полигон для испытаний, уверен Салихов. Цитата «Мы сталкиваемся с компаниями, которые говорят: "Мы защищены. Нас никто не атаковал". Это иллюзия контроля. Если вас еще не взломали, это не ваша заслуга. У хакеров просто не дошли руки», — полагает Дмитрий Волков. Считается, что корпорации и банки вроде бы хорошо защищены, они тратят большие деньги на информационную безопасность, покупают новые технологии. Но зачастую начинают действовать, когда у них уже происходят инциденты. Почему так происходит? «Основная причина подобной халатности — плохая осведомленность самих банков о шаблонах и тактике проведения целевых атак на финансовый сектор, — говорит Волков. — Они не понимают, как именно реализуются атаки, и поэтому не могут выработать адекватные меры противодействия. Вторая причина успеха целевых атак — излишняя вера компаний в то, что стандартные средства защиты, такие как лицензионный и обновленный антивирус, последняя версия операционной системы, использование межсетевых экранов (Firewall) или средств предотвращения утечек (DLP), остановят злоумышленников на одном из этапов развития атаки». В Group-IB подчеркивают: расследования инцидентов показывают, что на зараженном компьютере практически всегда была установлена антивирусная защита популярных антивирусных производителей, а инфраструктура организации защищена системами обнаружения вторжений. Безусловно, картина по российской банковской системе не однородна. Наряду с кредитными организациями, которые только начали задумываться о безопасности, есть банки, где защита поставлена на высокий уровень, подчеркивают в «Лаборатории Касперского». Вряд ли можно говорить, что российский банковский бизнес в этом плане сильно отличается от зарубежного, говорят в компании. Атакуют всех. В качестве примера, в «Лаборатории Касперского» приводят случай с одним из крупных банков Италии, в сети которого группа хакеров успешно орудовала целых три года. Чего бояться банкам Куда движется хакерский мир? В компании Group-IB ожидают, что количество целевых атак на банки будет расти, и выделяют следующие ключевые тенденции в киберпреступности. 1. Профессиональные преступные группы, занимавшиеся атаками на юридических лиц, будут переориентироваться на банки. А проправительственные хакеры, как это было в истории с северокорейскими хакерами из Lazarus, станут атаковать финансовые институты для кражи денег. 2. Вырастет число инцидентов с участием русскоязычных хакеров. Получив успешный опыт в атаках на банки России и Украины, хакеры будут уходить в другие регионы мира. 3. Появятся новые сервисы и инструменты для целевых атак, в том числе те, что оказались в открытом доступе в результате утечек в ЦРУ и АНБ. Инструменты, которые будут использоваться для кражи из банков, будет сложно детектировать стандартными средствами. 4. Кроме систем управления банкоматами, киберпреступники будут стремиться получить более широкий доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу. 5. Преступники продолжат искать инсайдеров в банках для сбора информации и организации первичного заражения. Цитата Денис Горчаков из «Лаборатории Касперского» полагает, что банкам следует ожидать атак на сегменты, связанные с удаленным обслуживанием клиентов: это направление сейчас активно развивается и там много уязвимых мест. «Благо, есть поле для разной компетенции атакующих: безопасность сервисов и мобильных приложений, неграмотность пользователей при работе с новыми технологиями, уязвимости бизнес-процессов на стыке традиционного и цифрового обслуживания», — перечисляет Горчаков. И еще один важный момент, на который обращают внимание в «Лаборатории Касперского». Рынок киберпреступности растет не только вглубь, но и вширь. Сегодня средства взлома доступны даже неподготовленному человеку: достаточно заплатить процент за хищение или принять участие в группировке. «Киберпреступность хорошо развита и в регионах, где злоумышленники вполне успешно обчищают банкоматы, не обладая вообще никакими техническими навыками, используя готовые инструменты и руководства», — говорит Денис Горчаков. Спасение утопающих — дело рук... Что делать банкам? Более тщательно отбирать сотрудников, советуют в Group-IB. А еще — устраивать «боевые учения» — самим периодически имитировать целевые атаки, фишинговые рассылки, в общем, доводить навыки реагирования до автоматизма. Критически важно выстраивать свою безопасность равномерно, без оглядки на то, что сейчас ломают хакеры, убеждены в «Лаборатории Касперского». Эксперты компании говорят о том, что тренды в хакерском бизнесе меняются быстро: какое-то направление атаки может быстро пойти в рост, поскольку одна группа хакеров создаст новый вирус и начнет его распрстранят среди других хакеров. А может и пойти на резкое сокращение, если правоохранительным органам удасться арестовать преступников: это вынудит остальных залечь на дно. Милена БАХВАЛОВА, Banki.ru