Семь раз отмерь, один раз укради - «Тема дня»
Преступники провели «тренировочную атаку» на восточноевропейский банк. Приготовиться российским
Недавно мы провели детальное расследование таргетированной атаки на один из банков Восточной Европы. И выявили два интересных тренда в поведении преступников: они постепенно переключаются с держателей карт на банки и готовы тренироваться месяцами, чтобы нанести жертве атаки максимальный ущерб.
Дроп-гол
Объектом нашего профессионального интереса стал компьютерный инцидент, связанный с хищением более 2 млн рублей за одну ночь из нескольких банкоматов одного банка. Для успешной атаки злоумышленники группировки Cobalt — а именно ее мы считаем причастной к этому происшествию — не применяли какие-то хитроумные техники, 0-day-уязвимости или дорогостоящее ПО. Они использовали самые распространенные недостатки корпоративных информационных систем: избыточность привилегий пользователей, пробелы антивирусной защиты, проблемы сегментации сети и мониторинга событий безопасности.
Кроме того, для проникновения во внутреннюю сеть использовался ставший уже «классическим» метод — рассылка фишинговых писем по электронной почте. В данном случае важную роль сыграл человеческий фактор — недостаточная осведомленность сотрудников банка в вопросах информационной безопасности. Все перечисленные проблемы можно встретить в той или иной мере практически в каждой организации, будь то банк, IT-компания или промышленная корпорация. Поэтому реализованная атака изначально имела высокий шанс на успех.
Для выемки денег из банкоматов преступники просто отправляли специальную команду на зараженное устройство, а так называемый дроп (наемное подставное лицо) забирал деньги в нужный момент.
Тренируем преступление
Выявленная атака была похожа, скорее, на тренировку преступников и отработку их инструментов и техник. С момента проникновения в инфраструктуру до кражи денег прошло порядка трех месяцев. Действовали нарушители, практически не скрываясь, используя распространенное общедоступное ПО (каким пользуются эксперты по безопасности при проведении легальных тестов на проникновение). Более того, для удаленного управления серверами и банкоматами они применяли обыкновенные инструменты системных администраторов, и такая активность в системе долгое время оставалась незамеченной. Тренировочный характер атаки подтверждает и тот факт, что используемое злоумышленниками вредоносное ПО сработало не на всех скомпрометированных банкоматах. В течение нескольких часов преступники тщетно пытались перезагружать как сам «вредонос», так и ATM, но безрезультатно. Если бы не просчет разработчиков этого ПО, ущерб банку мог быть намного крупнее.
Вполне вероятно, после устранения всех недостатков нарушители переключатся на более крупные банки. Скорее всего, их первоочередными целями станут средние и крупные банки России, так как следы, оставленные нарушителями, свидетельствуют о явной нацеленности преступной группы на российский сегмент. При этом страны Западной Европы в не столь отдаленном будущем также могут оказаться под угрозой.
Рассмотренный пример далеко не единственный — атаки на банки в 2016 году происходили регулярно, однако не все афишировали информацию о том, что стали жертвами киберпреступников, ведь это могло существенно снизить доверие вкладчиков. Среди наиболее известных атак можно выделить деятельность групп Carbanak, Lurk, Metel, Buhtrap и других, часть которых активизировались еще в 2015-м. Только в России суммарный ущерб банков от кибератак в 2016 году, по версии ЦБ, составил более 2 млрд рублей.
«Грохнуть» банк, а не счет клиента
Почему же атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков? Ответ, как нам кажется, вполне очевиден: злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь для галочки, ради формального соответствия требуемым стандартам.
По нашим оценкам, пропорциональное соотношение атак на пользователей банковских услуг и непосредственно на банковскую инфраструктуру составляет примерно 60 к 40 в целом по миру и 40 к 60 в России. Связано такое различие в первую очередь с недостаточно высоким уровнем развития услуг в банковском секторе нашей страны, а также с тем фактом, что многие до сих пор предпочитают не хранить крупные суммы на карточных счетах. Это и заставляет нарушителей переключать свое внимание на счета юридических лиц или же на сам банк.
Если говорить про опасность подобных атак для клиентов банков, преувеличивать угрозу не стоит. Не нужно бежать и обналичивать вклады, блокировать карты и поднимать панику. Естественно, безопасность сбережений вкладчиков напрямую зависит от безопасности банка. Но все же целью преступников в большей степени является капитал самой финансовой организации, так как это существенно больший куш.
Кроме того, эксперты в области информационной безопасности также не сидят сложа руки. Не только расследуют компьютерные инциденты по фактам уже случившихся атак, но и передают полученные знания — так называемые индикаторы компрометации — в ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере — структурное подразделение главного управления безопасности и защиты информации Банка России. — Прим. Финансы и Банки).
Информация о применяемых злоумышленниками тактиках и инструментах распространяется ФинЦЕРТом между финансовыми организациями в целях пресечения подобных атак в будущем. Банки получают возможность применить превентивные меры защиты еще до того, как станут целью преступников. Таким образом, мы стараемся максимально усложнить задачу злоумышленникам и повысить безопасность не только атакованного банка, но и других финансовых организаций. Банкам же стоит учиться на чужих ошибках и уже сегодня обратить особое внимание на безопасность собственной инфраструктуры. Ведь завтра они могут оказаться очередной мишенью для злоумышленников.
Евгений ГНЕДИН, руководитель отдела аналитики информационной безопасности Positive Technologies, для