Вирус бестелесный
В марте новый бесфайловый вирус поразил банкоматы ряда российских банков. Как отбить мошеннические атаки на банкоматы? Без взрывов и разрезов Интернет-банкинг, мобильные приложения, терминалы, банкоматы и другие технологии дистанционного управления счетами давно не являются чем-то удивительным и уникальным. Это ставшая уже привычной инфраструктура, обязательные элементы нашей повседневной реальности, от которых мы не готовы отказаться, как от центрального водоснабжения или электричества. Поскольку эти технологии связаны с доступом к деньгам, они привлекают внимание преступников. И чем активнее развиваются технологии, тем больше число, масштаб и разнообразие технологичных ограблений. Об этом свидетельствуют изменения в сфере киберпреступности и статистика по хищениям денежных средств. Согласно данным Европейской группы по безопасности банкоматов (European ATM Security Team, EAST), в прошлом году в Европе количество недеструктивных атак на банкоматы (то есть без взрывов и резки металла) выросло на 28%. Ущерб от таких атак вырос на 12%. Что касается способов атак на банкоматы и их заражения, теперь это происходит не только контактно, когда вредоносный код загружается, к примеру, с установочного диска, но и удаленно. Доступ к банкоматам преступники получают через сеть банка в результате целевых атак. Согласно нашим оценкам — и здесь мы сходимся с другими специалистами, работающими в области кибербезопасности, — ущерб от киберпреступности в СНГ за прошлый год составил порядка 5 млрд долларов США, увеличившись вдвое за последние два года. Много это или мало? С одной стороны, не больше 2% от глобального ущерба. С другой стороны, динамика роста настораживает. Новость Рост происходит преимущественно за счет того, что киберпреступники становятся профессиональнее и выходят на промышленный уровень. Помимо вирусов, которыми заражаются компьютеры и смартфоны пользователей систем ДБО, появляется вредоносное ПО, целью которого становится инфраструктура самих банков. Особый интерес и большую опасность представляют бестелесные вирусы, живущие в оперативной памяти компьютеров: их трудно обнаружить, и они устойчивы к традиционным антивирусам и мерам противодействия. Фантомы в сети: червь атакует Не так давно как раз прошла информация об одном из таких набирающих в России популярность бестелесных вирусов, которым заражают банкоматы. Механизм заражения в данном случае — удаленный: проникнув в сеть банка, червь попадает в компьютер администратора банкоматной сети и с него заражает банкоматы. Далее преступникам остается только ввести на банкомате специальный код и получить наличность. Как и другие бестелесные вирусы, он не имеет исполняемого файла (*exe) и не зависит от файлов на жестком диске. Поэтому его трудно обнаружить. Он быстро восстанавливается после перезагрузки банкомата, во время которой полностью очищается содержимое оперативной памяти. Причем восстановление может происходить как из области автозагрузки оперативной системы компьютера банкомата, так и непосредственно из сети банка. Впервые информация о бестелесных вирусах появилась летом 2001 года, когда была зарегистрирована вспышка эпидемии CodeRed. Благодаря трудности обнаружения несколько лет назад такие вирусы стали набирать популярность как часть серьезных кибератак в основном для хищения данных. Под ударом оказались базы данных не только банков, но и телеком-операторов и, конечно, правительственных структур. Механизм атак на банки был примерно тем же, что у нового вируса, который атакует банкоматы. Но целью был доступ к системе администрирования базы данных и получение учетных данных клиентов, с помощью которых можно от их имени совершать различные операции. В феврале этого года «Лаборатория Касперского» сообщала, что жертвами бестелесных вирусов стали более 140 организаций из 40 стран по всему миру. С одной стороны, взлом сети и заражение таким вирусом требует от преступников большого профессионализма, высококлассной подготовки и даже таланта. С другой — важно учитывать, что современные киберпреступники все больше ориентируются именно на совершение хорошо спланированных атак, которые потенциально могут принести большую отдачу. Так что стоит быть готовыми к тому, что хакеры будут осваивать создание бестелесных вирусов и применять их активнее. Противодействие такого вида вредоносному ПО состоит из двух больших и трудных задач — обнаружить и обезвредить. В любом случае нужны комплексные меры защиты. Обнаружить вирус можно по косвенным признакам с помощью аналитических систем и систем мониторинга, в результате анализа событий, которые происходят с подключенными к сети устройствами. Чтобы аналитические модели работали более эффективно и могли самообучаться, нужна интеграция с базой инцидентов. Такой мониторинг и анализ поможет также выявить уязвимости в сетевом контуре и обнаружить признаки готовящейся атаки. Что касается излечения бестелесных инфекций, здесь все зависит от самого вируса. Среди них «беглецы», которые исчезают, как только выполнено задание, например похищены данные, скомпрометированы карты и т. д. А есть «резиденты», которые могут долгое время незаметно работать в IT-инфраструктуре банка. «Резиденты», в свою очередь, могут уничтожаться во время перезагрузки или после установки обновлений, компилироваться из разрозненных фрагментов кода, прятаться на периферийных устройствах, создавать резервные копии и даже мимикрировать под файлы легального ПО. Хакеры играют в джекпот Вирусов, с помощью которых преступники могут присвоить деньги банка или его клиентов, великое множество. Причем объектом атаки может стать любая система в IT-инфраструктуре банка — от CRM-системы до систем мгновенных денежных переводов. Конечной целью атаки могут быть деньги физлиц, юрлиц, самого банка, банков-контрагентов. Для каждого объекта и находящегося под ударом субъекта существуют десятки способов атаки. Поэтому рассмотрим те, что связаны с наибольшим риском и потенциальным ущербом. Первый способ — кардинг. Целью являются средства клиентов банка. Атака связана с доступом к счетам через поддельные банковские карты. При этом данные об использованных в банкомате картах могут выгружаться непосредственно из компьютера банкомата. Другими словами, преступники, получая физический доступ к банкомату, подключают к нему портативное устройство с вредоносным ПО, которое позволяет обойти антивирус и скачать данные. В 2009 году банковское сообщество всерьез обеспокоило появление трояна Backdoor.Win32.Skimer. Это была первая вредоносная программа, целью которой были непосредственно банкоматы. Причем с помощью этого трояна преступники могли не только собрать данные об обработанных в банкомате картах, но и опустошить диспенсер. Другой широко распространенный способ хищения данных — кибератака. Здесь масса вариаций. Атакованы быть могут сайты интернет-магазинов, системы электронных кошельков, к которым привязаны карты, базы данных самих банков и т. д. Например, в том же 2009 году в США была поймана группа преступников — выходцев из СНГ, которая взломала глобальный процессинг карт RBS Worldpay и украла из 130 банкоматов более 9 млн долларов. Причем преступники изменяли установленные в системе лимиты выдачи наличных по картам клиентов, что позволило воспользоваться одними и теми же картами по несколько раз. Атака на банкоматы шла одновременно в 49 городах, в списке которых, помимо Нью-Йорка, Атланты, Чикаго, Монреаля и Гонконга, фигурировала Москва. Новость Еще одной схемой, которая представляет большой риск и несет большой ущерб, является так называемый АТМ-реверс, он же обратный реверс. Этот способ мошенничества выявили в 2015 году специалисты Group-IB. Тогда пострадали пять российских банков, ущерб составил более 250 млн рублей. Суть схемы в том, что преступники использовали уязвимость в процессинге. Чтобы похитить средства, они сначала получали в банке и пополняли в банкомате неименную карту, затем снимали эти деньги в том же банкомате и печатали чек об операции. Далее через удаленный доступ к скомпрометированным ранее POS-терминалам по RNN-референсу, указанному в чеке, формировали команду на отмену операции. В результате баланс карты восстанавливался, и преступники могли снова снимать деньги. При этом физически банкоматы и POS-терминалы находились в разных странах. Чуть позже, в том же 2015 году, появилась другая схема АТМ-реверса. Деньги снимались уже через банкоматы сторонних банков, а благодаря предварительной компрометации системы управления трансакциями баланс дебетовой карты не менялся. Наконец, третья схема АТМ-реверса — это управление банкоматом с помощью различных команд и кодов. Сейчас все чаще заражение происходит в результате атаки на сеть банка-эквайера, хотя еще пару лет назад наиболее распространено было заражение с флешки, диска, портативного компьютера или других носителей. Здесь суть — в обход процессинга и системных логов получить доступ к диспенсеру банкомата и забрать наличность. Схема примерно та же, что и с новым бестелесным вирусом, но заражение происходит контактно. СМС-пароли не спасают Мобильный и интернет-банкинг, разумеется, тоже под прицелом. И поскольку начиналось все с мелкого мошенничества — краж непосредственно со счетов клиентов, эта область изобилует вариантами заражения и стабильно подрастает как в плане объемов, так и в плане многообразия способов атаки. Например, в 2014 году двое хакеров из группы Carberp были приговорены к пяти и восьми годам тюремного заключения за построение бот-сети с использованием банковского трояна. Жертвами стали более тысячи россиян, а общая сумма украденных с их счетов денег только по доказанным эпизодам составила порядка 10 млн долларов. На долю этого трояна Carberp приходится примерно две трети заражений банков в мире. Суть его работы проста. Когда пользователь заходил на зараженный сайт, специальная программа-загрузчик определяла тип системы интернет-банкинга, которой он пользуется со своего компьютера, и подбирала подходящий модуль вредоносного ПО. Тот, в свою очередь, подменял реквизиты в легальных платежных поручениях. Очень распространены трояны, которые атакуют пользователей интернет-банкинга. Они подменяют на компьютере пользователя легальную страницу системы на поддельную. Таким образом, преступники получают логин и пароль доступа к личному кабинету клиента. Опасность в том, что атакующий получает доступ ко всем счетам клиента. Он даже может открыть кредитный счет и сделать клиента должником. Долгое время считалось, что спасти клиентов от такого рода атак могут одноразовые СМС-пароли. Но преступники быстро научились обходить и эту защиту — перехватывать такие сообщения как программными средствами, так и с помощью социальной инженерии. В частности, для этого создают неотличимые от оригинальных мобильные приложения, встраивают вредоносные алгоритмы в легальное ПО, взламывают личный кабинет на сайте сотового оператора и настраивают переадресацию СМС и т. д. Перехват СМС-сообщений от банка может совершаться также на уровне самого мобильного устройства: для этого преступникам даже не нужно знать ни номера карты, ни номера телефона, ни комбинации логина и пароля. Два года назад появились первые сообщения от клиентов банков, использующих Android-смартфоны, о том, что с их карт пропадают деньги. Попытки узнать баланс карты через СМС результата не давали. О пропаже люди узнавали, когда уже не могли расплатиться картой из-за нехватки средств, или по выписке из банкомата. Троян, который прописывался на смартфоне, отправлял на закрепленный за банком короткий номер команды на перевод средств на подставные карточные счета и затирал отправленные и полученные в ответ сообщения, а также ответы банка на пользовательский запрос о балансе. Цитата СМС-банкинг очень популярен в России: он не требует многоступенчатой авторизации и этим удобен для пользователей. Но и для мошенников. По данным Group-IB, именно в России и СНГ фиксируется максимальное количество таких атак. До разоблачения бот-сеть автоматически совершает от 50 до 200 мошеннических трансакций. Для операций, которые клиенты могут совершать с помощью СМС-команд, как правило, действуют жесткие лимиты. Поэтому средняя сумма трансакции невелика — 3 тыс. рублей. Но в силу массового характера такие мелкие кражи наносят серьезный ущерб. Чтобы обойти лимиты, преступники используют другую схему. Сначала собирают данные банковских карт через фальшивые диалоговые окна или самого банка, или популярных брендов. Далее распространены два сценария. Либо с помощью сервисов для перевода денег выводят средства с карты, либо преступник устанавливает у себя на телефоне официальное мобильное приложение банка и действует через него. Все коды для подтверждения операций, которые банк отправляет в СМС, перехватывают с помощью того же трояна. Рекомендация здесь одна — будьте внимательны, обновляйте антивирус. Тем более в случае, если деньги со счета пропали по таким схемам, многие банки рассматривают претензию клиента только при наличии антивируса. В противном случае ответственность за возможные риски лежит на самом клиенте. Великий фаервол и антидоты Пока преступники чувствуют себя достаточно вольготно в киберпространстве — преступления такого типа сложно расследовать, правовые нормы в этом направлении слабо проработаны, а в банках не всегда есть адекватные инструменты для противодействия. Причем небольшим банкам зачастую проще и дешевле застраховать наиболее уязвимые участки своей инфраструктуры, чем строить полноценный контур защиты, что тоже будет способствовать росту числа атак и вирусных краж. Однако Банк России понимает щекотливость такой ситуации и предпринимает шаги по минимизации киберрисков банковской системы. В этой связи выглядит логичным ужесточение требований регулятора к кредитным организациям в части наличия и использования различного рода антифрод-механизмов. А создание FinCert стало отправной точкой объединения отрасли в противодействии кибермошенничеству. Обмен информацией об инцидентах позволяет оперативно использовать ее для защиты от ставших известными угроз. Но, помимо этого, нужно дорабатывать законодательство, повышать грамотность сотрудников банков в области информационной безопасности. Нужны комплексные технологические решения, которые задействовали бы адекватные современным угрозам механизмы, в том числе методы машинного обучения, прогнозирования, построения сетей взаимосвязей, помогали бы быстро собирать доказательную базу и охватывали бы все без исключения информационные системы банка. Алексей КОНЯЕВ, старший консультант антифрод-практики SAS Россия/СНГ