Для заражения корпоративных сетей банков хакеры используют таргетированные фишинговые атаки, рассылая письма с вредоносными вложениями или используя эксплоит Niteris, направленный на уязвимости в браузерах. В случае успешного заражения, для «закрепления успеха» атакующие применяют легальные технологии, предназначенные для пентестинга. В итоге хакерам удается получить в свое распоряжение контроллер локального домена, а затем и доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.
Но примечательна группа Metel не этим, а изобретением интересного метода снятия украденных денег в банкоматах. Злоумышленники посылают своих сообщников в банкоматы других банков, чтобы те сняли деньги с действительного банковского счета в зараженном банке. Так как на данном этапе злоумышленники уже контролируют ресурсы внутри зараженного банка и имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), они осуществляют откат операций, совершаемых через банкоматы. Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. Пропажа средств обнаруживается позже, когда след хакеров уже простыл.
Специалисты GReAT рассказали, что хакеры ездили по разным городам России и в течение всего одной ночи снимали через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком. Только в одну из таких ночей преступники похитили несколько миллионов рублей. Это свидетельствует о том, что активная фаза кибератак в целом стала короче: как только злоумышленники понимают, что они подготовили все необходимое для достижения своей цели, они получают все, что им нужно, и сворачивают операцию в течение считанных дней или даже часов.
На данный момент от малвари Metel пострадали более 30 финансовых учреждений.
GCMAN
Хакеры из GCMAN действуют иначе – их конек, это скрытность. Группа получила имя в честь GCC (GNU Compiler Collection), который используется в их кастомной малвари. Эти парни предпочитают заражать банки по-тихому, не привлекая внимания, а затем переводят средства малыми суммами, используя различные сервисы криптовалют.
Для заражения сетей финансовых учреждений злоумышленники тоже используют таргетированый почтовый фишинг. Если жертва откроет вредоносный RAR-архив, присланный во вложении, дело можно считать сделанным – компьютер заражен вредоносом GCMAN.
Впрочем, эксперты отмечают, что хакеры далеко не всегда использовали фишинг. Группа проводит успешные атаки, не применяя вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты для пентестов. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка.
В отличие от Metel, GCMAN никуда не торопятся и подходят к делу обстоятельно. В одном случае злоумышленники находились в зараженной системе полтора года, прежде чем начали красть деньги. Но когда атака входит в активную фазу и перевод средств начинается, хакеры не медлят. Каждую минуту группа GCMAN может переводить до $200 – лимит для анонимных платежей в России. Все украденные деньги уходят на различные криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием средств. Поручения на транзакции в таких случаях направляются напрямую в банковский платежный шлюз, но не отображаются ни в одной из внутренних банковских систем.
Как Россия превратилась в «территорию хакеров».Сколько денег удается хакерам умыкнуть из карманов физических и юридических лиц? Этот вопрос «Итоги» задали генеральному директору компании Group-IB Илье Сачкову, вместе с которым мы разбирались в подоплеке недавних неприятностей с ЖЖ («Итоги», № 15).
— Илья Константинович, как часто банковские счета потрошат с помощью DDoS-атак?
— Такие атаки — прием достаточно частый, но есть вещи и более серьезные. Самая распространенная вещь в Интернете — мошенничество через системы интернет-банкинга, проще говоря, хищение денежных средств со счетов юридических и физических лиц. В первую очередь юридических, потому что у них суммы на счетах больше. В прессе находят отражение единичные кражи, а в реальности ситуация гораздо хуже: ежедневно только мы разбираем по 10 случаев, а по стране в целом, думаю, происходит по 60—70 хищений в день со счетов юридических лиц через системы дистанционного банковского обслуживания (ДБО). К сожалению, официальной статистики по этому вопросу не ведется.
— Вы можете оценить прибыльность этого «бизнеса»?
— Русские хакеры — те, что проживают на территории нашей страны, по нашей оценке, заработали в 2010 году 1,3 миллиарда долларов только в России. Если объединить русскоговорящих выходцев из стран бывшего Советского Союза, то будет уже 2,5 миллиарда долларов. Для примера я покажу вам на экране выписку из интернет-кошелька реального хакера, проживающего в Москве, в отношении которого сейчас идет расследование. Смотрите: приход денег за один день 11 августа 2010 года: 40 тысяч долларов, 31 тысяча долларов, еще 40 тысяч долларов и дальше в том же духе. И это только за один день!
— Наверное, не все эти суммы уходят через системы ДБО? Есть, например, корпоративные банковские карты, которые также представляют интерес для мошенников.
— По нашим оценкам, кражи с корпоративных карт — копейки по сравнению с мошенничеством в ДБО. Именно на взломы систем клиент — банк приходится основная доля доходов преступников. То, что вы видели на экране, — реальный доход всей преступной группы. Владелец интернет-кошелька — организатор группы, он получит около 80 процентов. Смотрим далее: приход за полтора месяца — 24 миллиона долларов. Это объемы хищений со счетов российских юридических лиц. В основном страдает малый бизнес, иногда — крупный. Данный случай не исключение, а скорее новый формат реальности. В России, где и так все очень сложно с юридическими доказательствами компьютерных преступлений, это потенциальный источник коррупции в правоохранительных органах.
— Как хакерам удается попасть в защищенную банковскую систему?
— Через корпоративные ПК юридических лиц, клиентов банка, на которых установлено ПО удаленного управления банковскими счетами. Чаще всего это делается с помощью вредоносных программ. Заразить компьютер бухгалтера специальным вирусом — банковским трояном — можно, по сути, двумя основными способами. Либо вирус занесет сообщник преступников, работающий в компании, этакий засланный казачок. Либо троян подхватит сам бухгалтер, который с рабочего компьютера «серфит» по просторам Интернета и может посетить зараженный сайт. В любом случае заражение компьютера — следствие халатного отношения к основным правилам информационной безопасности. Ведь в идеале для проведения платежей бухгалтер обязан иметь портативный ПК, который следует хранить в сейфе и доставать только для работы в системах интернет-банкинга. Но это в идеале, а на практике вирус, внедрившийся в бухгалтерское ПО, формирует подложное платежное поручение на перевод денег со счета жертвы на счет специально зарегистрированной фирмы-однодневки.
— Но сразу воспользоваться всей суммой вряд ли удастся?
— Конечно, это может привлечь внимание. Поэтому в состав преступной группировки входят не только хакеры, но и люди, отвечающие за вывод денег с банковских счетов и обналичивание. В этой части хакеры тесно взаимодействуют с традиционной преступностью. Так, деньги, уведенные со счетов юридических лиц, отправляются чаще всего в Екатеринбург или Челябинск — там продолжают действовать организованные преступные группировки, которые еще с 90-х занимались обналичкой. Они дробят первичную сумму, переводя ее на счета других фирм-однодневок либо подставных физических лиц. Задача — распределить исходную сумму на множество счетов физических лиц (они называются дропы, обычно это бедные студенты, бомжи и т. д.) так, чтобы дропы могли легко снять «свои» суммы за два-три подхода к банкомату в течение дня. За небольшое вознаграждение они это делают и сдают наличность конкретному лицу из банды. Схемы обналички, естественно, разрабатываются заранее, но есть рынок, скажем так, услуг под ключ. Если не верите, наберите фразу «обналичить деньги» в любой поисковой системе...
— Что потом происходит с наличными деньгами?
— Потом кэш перевозится в Москву и вводится в электронную платежную систему, например WebMoney или «Яндекс. Деньги». Нужно ведь каким-то образом перевести наличные деньги на счета преступников и одновременно окончательно замести следы. Электронный кошелек здесь лучшее средство, потому что после этого этапа деньги уже невозможно отследить. Далее владелец кошелька раскидывает деньги по другим кошелькам: хакерам, ответственным за связи с разными ОПГ и т. д. Чтобы вычислить подобную схему обналички, правоохранительным органам и нам в качестве аналитиков понадобилось два года работы. Это было непросто, потому что таких электронных платежных систем много, государством они не контролируются.
— Это же рай для преступников!
— На словах это называется более красиво — концепция свободной рыночной экономики. Она зиждется на трех китах: нет контроля со стороны государства (прямые контракты), нет налогов, и на эти деньги можно купить все, что угодно. Конечно, напрямую оплатить, скажем, недвижимость электронной валютой вы не сможете, но деньги можно легко обналичить и приобрести ту виллу, которая приглянулась. Схемы обналичивания электронных валют гораздо проще, чем вывод денег с банковских счетов, ввиду отсутствия такого жесткого контроля, который имеется в банковской среде.
— Как с этой проблемой справляются в других странах?
— В США многие люди понимают, что если хакер находится на территории США и действует против интересов страны, то с вероятностью 90 процентов в ближайшее время его арестуют. В Европе во многих странах фактически невозможно обналичить деньги юридического лица. По сути, существует три сдерживающих фактора: чувство наказуемости, экономическая нецелесообразность и техническая невозможность. У нас же сложилась парадоксальная ситуация: отсутствуют все три. Соответственно, человек, не обремененный совестью, легко может начать преступный бизнес и в день зарабатывать миллион долларов, ведь технически это не очень сложно.
— Расскажите поподробнее!
— Давайте сразу условимся, что мы не пишем инструкцию для начинающего хакера. То, о чем мы говорим, — преступление, и этим нельзя заниматься, даже из природной любознательности. Доходы, которые вы видели на экране, не просто цифры, это чей-то потерянный бизнес, чья-то семейная трагедия.
Теперь о ключевых моментах преступной схемы. Первым делом злоумышленнику нужно создать бот-сеть зараженных компьютеров и вирус, который эти компьютеры заразит. Если стоит задача именно заработать, нужен вирус высокого класса, который не детектируется антивирусами и представляет собой некий конструктор. Он стоит 5—6 тысяч долларов. Еще нужно купить хостинг, где доступ к содержимому серверов гарантированно закрыт для любых правоохранительных органов. Это специальное направление деятельности преступного мира — создание специализированных хостинговых сред для предоставления нелегальных услуг.
— Выбор большой?
— Огромный. И стоит такой хостинг недорого: 150—200 долларов в месяц. Большинство коммерческих центров обработки данных (ЦОД) таковыми не являются, но в моей практике встречались вполне легальные ЦОДы, которые тайно подрабатывали хостингом для преступников, ведь это очень выгодно. В том числе и в России, к сожалению.
— И как вирус будет распространяться по Сети?
— Нужен распространитель вредоносного ПО по Интернету. Для этого есть целые группы злоумышленников, которых называют заливщиками. Это люди, которые распространяют вредоносное ПО за деньги. Заражение 1000 машин стоит 20 долларов, примерно 600 рублей. Но обычно заказчик тратит побольше, долларов 500, чтобы заразить большее количество машин. Вирус — маленький загрузочный модуль — попадает в компьютеры, превращая их в зараженные боты. А сам организатор наблюдает с помощью панели управления, как ведут себя его боты.
Последний писк в этой сфере: вирус сам пытается понять, что можно украсть с данного компьютера. В первую очередь ищет входы в банковские платежные системы. Если они есть, загружает на компьютер модуль для работы с бухгалтерским ПО банка. Если нет, пытается найти платежное ПО для физических лиц: WebMoney, «Яндекс.Деньги» и т. д. Нашел — загрузил соответствующий модуль. Если ничего этого нет и денег с компьютера напрямую заработать нельзя, все равно его можно использовать: например, для рассылки спама либо для DDoS-атак. Максимум 8 тысяч долларов — это стоимость входа на рынок киберпреступности.
— Как вирусу удается безнаказанно творить свое черное дело, ведь банки инвестируют огромные средства в системы безопасности?
— Преступники заказывают высококлассные вирусы, которые в состоянии обходить антивирусы и другие виды защиты. Причем современные банковские трояны обеспечивают хакерам возможность не только удаленного доступа, но и сокрытия следов преступлений. Как это делается? Как только подложное платежное поручение отправлено, главная задача преступников — ограничить доступ бухгалтера к системе интернет-банкинга. Чаще всего они удаляют один из компонентов операционной системы зараженного компьютера. В то время когда все силы клиента банка брошены на восстановление работы компьютера, деньги покидают его счет.
— Возникает интересный вопрос: кто виноват в произошедшем? Клиент банка, допустивший заражение компьютера, или банк, выдавший ему такое ПО, которое не защищено от атак вирусов?
— С одной стороны, ответственность за инцидент лежит на клиентах, которые часто пренебрегают обоснованными рекомендациями банков. А они, между прочим, прописываются в каждом договоре на предоставление услуг ДБО. С другой стороны, банки обязаны отслеживать странные платежи — например, единоразовый перевод крупной суммы на счет физического лица. Операционист должен такой платеж заблокировать, позвонить в компанию и получить подтверждение от бухгалтера. К сожалению, на практике не всякий банк придерживается таких стандартов...
— Что делать пострадавшему?
— Практически любые действия хакеров — это преступление. Поэтому в обязательном порядке следует обращаться в полицию. Правда, пострадавшие крайне редко это делают.
— Почему? Не верят в успех?
— Отчасти да, не верят, ведь примеров успешных расследований очень мало. Хорошо то, что в нашей стране вообще появилась такая специализированная компания, как наша. На Западе таких много, это целый рынок услуг.
— Представим, что пострадавший владелец компании приходит в местное ОВД. Ведь на него посмотрят как на идиота?
— Вполне вероятно, заявление постараются не принять. И к этому походу следует готовиться заранее. Во-первых, нужно самому четко понимать, что произошло преступление, ведь с правовой грамотностью населения в сфере информационной безопасности у нас кошмар. И это преступление описано в Уголовном кодексе. Во-вторых, нужно четко знать, что сотрудник полиции обязан принять заявление, и отказ — это фактически должностное преступление. В-третьих, нужно правильно описать состав преступления. Рекомендации по тому, как писать письмо, достаточно легко найти в Интернете: и на нашем сайте, и на других. Если происходит DDoS-атака, желательно приложить нотариально заверенную веб-страницу. В Москве есть (и в регионах уже появляются) такие веб-нотариусы, которые подтверждают, что на компьютере нотариуса нет доступа к ресурсу. Мораль такова: если человек подготовится к визиту в ОВД, это увеличит шансы того, что расследование будет успешным или хотя бы будет возбуждено уголовное дело.
— То есть заявление в полицию, по-вашему, это и есть панацея?
— Обращаться нужно, хотя бы для статистики. Смотрите: штат полиции могут увеличить лишь на основании зарегистрированных преступлений, но сейчас официальная статистика МВД в части высокотехнологичных преступлений совершенно неадекватная. Поэтому соответствующих специалистов катастрофически не хватает: на одного сотрудника полиции в области компьютерных преступлений приходится, думаю, около 100 заявлений, может быть, больше. И работа в основном происходит на бумаге.
— По-моему, нашим правоохранителям куда приятнее поймать бедного студента, который поставил на компьютер нелицензионную версию операционной системы или бухгалтерской программы…
— Я понимаю желание людей заниматься именно такими расследованиями, потому что технически это гораздо проще. Но это полный бред, когда один человек ворует 5 миллионов долларов и получает за это пять лет условно, а другой за нелицензионную ОС садится на два реальных года. Государству нужно срочно вмешаться в эту неразбериху с компьютерной преступностью! Если ничего не делать, завтра будет гораздо хуже: доходы хакеров растут, а с ними — возможности влияния. Если в 2000 году компании ставили защиту, а хакеры ее ломали, то сегодня, когда у преступника 24 миллиона долларов ежемесячного дохода, роли поменялись: хакер совершает преступления, а компании и организации пытаются его догнать. Через два года мы вообще можем потерять контроль над Интернетом, и тогда с хакерами будет бесполезно бороться. Потому что у них будут свои люди в Госдуме, где они станут проводить свои законы.
— Недавно Российская ассоциация электронных коммуникаций предложила внести поправки в УК РФ в части ответственности за компьютерные преступления. Это поможет?
— Я являюсь сопредседателем комиссии РАЭК по информационной безопасности и киберпреступности и принимаю непосредственное участие в разработке этих поправок. Мы рассчитываем завершить работу к осени. Но даже если все исполнится так, как задумано, такая нормативная база будет отлично работать только в том случае, если хакер находится в России и преступление совершено тоже в России. Как только хакер оказывается за рубежом, без сотрудничества правоохранительных органов разных стран ничего сделать нельзя. Есть, например, международная конвенция, которая позволяет странам, подписавшим ее, в частности США, обмениваться данными, необходимыми для расследований, в онлайн-режиме. Россия к этой конвенции не присоединилась, и потому у нас трансграничное общение идет по старинке: бюрократия, бумага, визирование… Правда, в этой конвенции есть определенные нюансы. Например, если мы подключимся к ней, то, скажем, правоохранительные органы США смогут вести собственные расследования на нашей территории, не ставя нас в известность... Вступать в международные союзы нужно обязательно, но при этом контролировать некоторые тонкие вопросы.
В 2017-м ущерб, видимо, будет еще больше. Грабить финансовые организации, как ни странно, стало проще, а защита от мошенников нового типа работает плохо.
ВЛАДИМИР РУВИНСКИЙ
Кража года
В последний день зимы 2016 года, 29 февраля, столичный Металлинвестбанк лишился 200 млн рублей. Их, как было установлено позже, украли хакеры. Все произошло быстро. Терминалы, с которых управляется корреспондентский счет кредитного учреждения в ЦБ, начали несанкционированно отправлять с него деньги на сторонние счета. Адресаты — частные лица в коммерческих банках по всей стране.
Подозрительное поведение компьютеров в Металлинвестбанке обнаружили сразу, заверил "Деньги" зампредправления Михаил Окунев. "Это был взлом канала автоматизированного рабочего места клиента Банка России, АРМ КБР",— сказал он. Взлом, по словам Окунева, продлился около часа. Чтобы остановить переводы, банк даже запросил ЦБ отключить его от системы расчетов. К этому времени с корсчета Металлинвестбанка ушло 667 млн рублей. "Треть денег вернулась сразу, примерно треть арестована на счетах в банках, мы рассчитываем, что они к нам вернутся по результатам суда, который, как мы ожидаем, начнется в апреле",— говорит Михаил Окунев. Около 200 млн рублей, как уже было сказано, банк все же не вернул: с подконтрольных счетов злоумышленники их либо быстро обналичили, либо перевели дальше.
У этой истории — нечастый для России финал. Через три месяца, в июне 2016-го, ФСБ и МВД сообщили, что совместно в 15 регионах РФ задержали 50 человек, входящих в хакерскую группу под названием Buhtrap. Ее заметили еще в 2014 году, когда она обчищала компании. А в августе 2015-го группировка переключилась исключительно на финансовые организации:
за полгода, по февраль 2016-го, Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 млрд рублей, отмечает Group-IB, специализирующаяся на предотвращении и расследовании кибератак.
Данная группировка, как говорят источники "Денег" на банковском рынке, стоит и за атакой на Металлинвестбанк. В Group-IB это мнение разделяют.
Рост на 300%
Хищение у Металлинвестбанка 667 млн рублей было в числе самых крупных в РФ — из тех, что были обнародованы. Средняя хакерская кража у российских банков в период с июня 2015-го по май 2016 года составляла около 140 млн рублей. Хотя были и большие суммы. "В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка",— отмечается в прошлогоднем отчете Group-IB.
Всего за 2016 год, сообщил в феврале 2017-го ЦБ, у российских коммерческих банков хакеры похитили 2,2 млрд рублей.
"Если говорить о покушениях на хищения денежных средств со счетов кредитных организаций, то в 2016 году подобным атакам подверглись девять организаций,— уточнила "Деньгам" пресс-служба регулятора.— Злоумышленники пытались похитить около 5 млрд рублей. При этом удалось остановить хищения на общую сумму порядка 2,8 млрд рублей". Очевидно, банки в 2016 году лишились бы еще большей суммы, если бы не захват членов Buhtrap, группировки, на которую, по сведениям Group-IB, приходилось две трети украденного у банков.
Общая сумма киберхищений у финансовых организаций за минувший год, впрочем, может быть и больше. По крайней мере, по подсчетам Group-IB, за период с июня 2015-го по май 2016 года у российских банков в результате целевых атак (когда жертва не случайна, а подбирается со знанием дела) хакеры похитили 2,5 млрд рублей.
Сумма целевых киберхищений у банков, по сведениям Group-IB, к аналогичному периоду 2013-2014 годов выросла на 292%. (По данным ЦБ, с июня 2015-го по май 2016 года у российских банков хакеры украли 1,37 млрд рублей.) "Нас часто обвиняют, что мы цифры завышаем,— я считаю, что мы занижаем",— подчеркивает директор департамента киберразведки Group-IB Дмитрий Волков.
Более свежих цифр за 2017 год пока у компании нет, но в банковском сообществе неофициально "Деньгам" подтверждают если не увеличение суммы украденного, то рост числа кибератак в российских финансовых организациях. (При этом сумма похищенного за один раз может и снижаться.) "Атаки ради денег самих банков совершаются все чаще. Есть мнение, что в последние несколько лет число атак удваивается ежегодно",— подтверждает Эльман Мехтиев, исполнительный вице-президент Ассоциации российских банков (АРБ). А компания Positive Technologies, также занимающаяся расследованиями киберпреступлений, прогнозирует, что в 2017 году хакерских атак на банки в РФ будет больше на 30%. Это касается и процессинговых, брокерских структур, операторов денежных переводов — их потери от киберхищений также возрастут.
Не признаются
Металлинвестбанк — редкое исключение из правила. Он публично признал факт кражи и сумму ущерба от действий хакеров. О киберкражах (правда, без подробностей) сообщали также Русский международный банк и казанский Алтынбанк. Остальные предпочитают о потерях не распространяться.
Между тем в США, например, финансовые организации, если хотят избежать больших штрафов, сведения об ущербе от хакеров обязаны не только доводить до регулятора, но и раскрывать публично. У нас, говорят банкиры, такую информацию финансовые и кредитные учреждения не предавали широкой огласке, опасаясь больших имиджевых и репутационных потерь (а закон их к откровенности не обязывает).
Открытых полных данных о том, сколько хакеры украли со счетов у банков, их клиентов — физических или юридических лиц — в России нет.
Соответствующая статистика ЦБ формируется из отчетности банков, которые до 2015 года не спешили делиться с регулятором конфиденциальной информацией о киберкражах. Чуть более года назад их обязали это делать. "Данные Центробанка в целом по киберхищениям в РФ не отражают картины,— считает бывший руководитель подразделения в управлении К МВД, пожелавший остаться неназванным.— Их гораздо больше, чем говорят банки". Это, правда, касается в первую очередь киберкраж у клиентов финансовых организаций. Скрывать от ЦБ такие атаки против самих себя не в интересах банков, уверены собеседники "Денег". Но сделать это вполне реально.
"Формируя статистическую отчетность, Банк России исходит из того, что кредитные организации добросовестно подходят к формированию отчетности,— сообщила пресс-служба регулятора.— По итогам 2016 года статистика Банка России практически полностью коррелирует со статистикой МВД по такого рода преступлениям".
Банки — главная мишень
Несколько тысяч рублей, украденных с вашей карты,— добыча "щипачей". Профессиональные компьютерные преступники "берут" за раз сотни миллионов.
Если еще в 2013 году главной мишенью опытных хакеров были клиенты банков, то теперь — сами финансовые организации, говорят опрошенные "Деньгами" эксперты. Самые профессиональные киберпреступники, потренировавшись на компаниях, переориентировались на банки. Там риски и азарт выше, дело — сложнее, но и куш куда заманчивее.
Доход хакеров от целевых атак на банки за период с июня 2015-го по май 2016 года, по данным Group-IB, "перекрыл суммарный заработок от всех остальных способов хищений, сделав банки самой привлекательной мишенью". Если у банков за указанный период хакеры украли 2,5 млрд рублей, то у юрлиц — 956 млн, у физлиц через настольные компьютеры — 6,4 млн, у них же, но через смартфоны,— 348,6 млн.
С юрлиц за одну кражу в интернет-банкинге можно было "получить" почти в 300 раз меньше, чем с банков: 480 тыс. против 140 млн рублей.
С теми и другими работают наиболее квалифицированные хакеры — "элита". Счета обычных граждан обчищает отдельная группа кибермошенников — это, говорят эксперты, по сути, аналог малоквалифицированных щипачей в цифровую эпоху. С банковских счетов граждан через настольные персональные компьютеры они похищают в среднем за раз по 51,6 тыс. рублей, через смартфоны на Android — в среднем по 4 тыс. за раз (немного, но зато тут кражи совершаются намного чаще).
Российский рынок киберхищений за II кв-л 2015 — I кв-л 2016 г.
|
Источник: Group-IB
Неуязвимых нет
Всего в стране сейчас действует около 570 коммерческих банков, и хакеры, скорее всего, прощупали всех (включая более 300 закрытых в ходе затеянной ЦБ чистки). "Банков, которые не атакуют, нет",— уверен Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies. "Атакам хакеров подвергаются все,— соглашается Алексей Голенищев, директор по мониторингу электронного бизнеса Альфа-банка.— Но в защищенный банк, откуда сложно вывести деньги, мало кто полезет".
Многие финансовые организации, прежде всего региональные, слабо готовы к кибератакам. "Банки, особенно в регионах, до сих пор уверены, что кибермошенники потрошат лишь клиентов, за что уже поплатились",— замечает топ-менеджер из банковской сферы, пожелавший остаться анонимным. По словам Эльмара Набигаева, как правило, после первой кражи банки меняют свой подход. "Сейчас вообще таких стало меньше",— отмечает он. Меньше в том числе потому, что основная масса закрывшихся банков — региональные.
"Готовность — разная, в зависимости от величины банка. Крупные готовы к атакам, средние и малые — не все... Но никогда нельзя быть готовым на сто процентов к предательству внутри организации вне зависимости от размера банка",— замечает Эльман Мехтиев из АРБ. Роман Чаплыгин, директор направления анализа и контроля рисков кибербезопасности PwC, обращает внимание на нехватку финансирования: "В России существует множество банков, которые не обладают достаточным количеством финансовых средств для выстраивания системы кибербезопасности внутри организации и отражения атак".
Впрочем, есть и другая проблема. "Некоторые банки в России и за ее пределами не верят, что компьютерная преступность существует,— говорит Илья Сачков, гендиректор Group-IB.— Даже в уважаемых государственных учреждениях есть люди, которые тоже в это не верят".
О слабой готовности кредитных учреждений к кибератакам свидетельствуют и тесты на проникновение в информационную систему компаний и банков, проведенные в 2015 году Positive Technologies. Проверялось 17 учреждений в России и за рубежом, треть из которых составляли банки и финорганизации.
В 82% систем оказалось возможным попасть в сеть, в каждом втором случае удалось получить контроль над критически важными ресурсами компаний, а в 28% был получен полный контроль над всей инфраструктурой организации.
По словам Эльмара Набигаева, ситуация к сегодняшнему дню существенно не изменилась: "В банковской сфере с точки зрения безопасности все не очень хорошо. У большинства злоумышленников не вызывает затруднений получение полных привилегий в сети. Результаты наших расследований инцидентов в банках показывают, что в большинстве случаев атаки заканчивались полной компрометацией сети и кражей средств".
Слабость банков
Кредитные учреждения вроде бы вкладываются в кибербезопасность. Даже несмотря на кризис. "По нашим данным, в 2017 году в России бюджет на кибербезопасность вырос на 18%",— говорит Роман Чаплыгин из PwC.
Увеличение бюджета, однако, не всегда помогает. "Многие банки ограничиваются инвестициями в безопасность на уровне соответствия стандартам,— поясняет Эльмар Набигаев.— Галочку поставили в документе, правильное средство защиты купили — значит, все хорошо. Но нельзя просто купить железку и забыть, информационная безопасность — это процесс, инфраструктура банковской организации меняется, киберпреступники обновляют инструменты и схемы атак, поэтому и в безопасности постоянно должно что-то совершенствоваться".
Те, кто обеспечивал киберзащиту, которая не помогла, оказывались в очень щекотливой ситуации. "К сожалению, многие сотрудники службы информационной безопасности скрывали от менеджмента банков проблему, и это могло длиться до 2013-2014 года,— рассказывает Илья Сачков.— Ты потратил много денег, но проблему это не решило. И ты должен потратить еще. У нас с некоторыми банками даже были конфликты, когда мы через систему мониторинга были способны определять преступления на этапе их подготовки, знали, у кого могли украсть деньги, сообщали об этом сотрудникам службы информбезопасности, а они эти сведения никак не использовали, боялись показать руководству. И происходило хищение".
Те же, кому руководство банка средств на киберзащиту не выделило, используют это как повод снять с себя ответственность: мол, мы же просили деньги, а вы не дали, говорит пожелавший остаться анонимным топ-менеджер из банковской сферы. "В тех банках, где IT-безопасность — это часть службы, выросшей из службы физической безопасности, так и происходит чаще всего",— уверен наш собеседник.
Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского", участвовавший в расследовании киберкраж в финансовых организациях, соглашается: "Чаще всего проблемы у банков не с бюджетами, а с информированностью об инцидентах.
Большинство атак происходит по глупости, недосмотру, случайно, если хотите. И так во всем мире.
Если банк формально следует букве закона (так называемая бумажная кибербезопасность), то он все равно станет жертвой злоумышленника".
"Мало накупить дорогих систем,— отмечает Эльмар Набигаев.— Для их эффективной эксплуатации и настройки необходим высококвалифицированный и весьма дорогостоящий персонал, а далеко не каждый банк может себе позволить держать в штате таких профессионалов. Да их и мало очень".
Знающих специалистов мало не только в банках, но и в правоохранительных органах, говорит источник "Денег" в управлении К МВД: "Почти нет оперативников, следователей, способных понять техническую сторону дел, объединить эпизоды и объяснить их суть прокурору и судье".
Вор у вора
Пользуясь исключительно инсайдом, крадут в России деньги и у обнальных банков, которые принимают средства и получают указания, куда их перевести. "Есть группы злоумышленников — они получают доступ к такой почте у обнального банка или отправителя денег,— рассказывает Дмитрий Волков из Group-IB.— Мошенники видят переписку и со взломанной почты сами отправляют эти поручения банку.
Например, сегодня деньги должны уйти в Китай — злоумышленники перехватывают такое письмо, подменяют его: да, тоже Китай, но другое юрлицо. И 200 млн долларов уходят не в ту компанию.
Почту они контролируют. Банк спрашивает: "Точно туда отправлять?" Хакеры отвечают: "Да, туда". И все. Суммы хищений здесь большие, многое делается по наводке".
И кто признается ЦБ, клиентам или партнерам, что украли серые деньги, что пострадала отмывочная или обнальная, криминальная по сути, схема?
Как грабят банки
Ваши сотрудники отказались от подписки на бумажную газету или популярный еженедельник? Ждите хакеров-грабителей.
Человеческий фактор
Атака на банк — в первую очередь атака на человека.
Злоумышленникам для начала важно проникнуть в компьютер банковского служащего.
Оттуда открывается доступ в локальные сети, хакеры получают привилегии администратора, что позволяет атаковать системы, отвечающие за финансовые трансакции: АРМ КБР, банкоматные сети, биржевые терминалы, электронные расчеты и межбанковские переводы, SWIFT и процессинговые системы. Что и дает возможность красть средства.
Именно так, скорее всего, произошла кража в Металлинвестбанке: платежные терминалы и корпоративная сеть здесь были объединены, что сыграло на руку хакерам. "Достоверно сложно утверждать, что послужило изначальной точкой входа в банковскую систему,— говорит Михаил Окунев.— Но все уязвимости мы закрыли и постоянно совершенствуемся в этом. Мы разделили физически общую банковскую сеть и те машины, которые отвечают за отправку любых платежей. Банк провел полную перестройку системы информационной безопасности".
Почтовый взлом
Способов проникновения на компьютер банковского служащего несколько. Самый распространенный — через электронную почту. Конкретным сотрудникам присылается некое письмо с документом, куда встроена вредоносная программа с так называемыми эксплойтами. Используя уязвимости в программном обеспечении, они находят черный ход на компьютер сотрудника. Чтобы вредоносный файл открыли, злоумышленники отправляют его от имени клиентов банка, или от ЦБ (как делала группа Buhtrap), или от госорганов.
Письмо может подтверждаться и телефонным звонком: мол, проверьте реквизиты договора, акт сверки, последние распоряжения. И необязательно это будет письмо с фальшивого адреса: хакеры могут отправлять зараженные файлы и с настоящих, но взломанных адресов. Кроме того, это может быть и подлинное письмо от партнеров, но с вредоносной программой.
"У злоумышленников появляются дополнительные возможности совершать атаки через многочисленных банковских контрагентов, у которых система защиты от киберугроз зачастую совсем не развита", —
говорит Роман Чаплыгин.
Что происходит дальше? Сотрудник открывает документ, например, в формате.pdf, а встроенная в него вредоносная программа проверяет, есть ли уязвимости в "читалке". Часто они есть, так как обновления, которые ставят "заплатки" на программное обеспечение, делаются нерегулярно. Впрочем, обновления не панацея, они только снижают риски: у программ, на радость хакерам, существуют уязвимости, неизвестные разработчикам.
Используя эти уязвимости, с помощью эксплойтов, встроенных в присланный документ, киберпреступники входят через черный ход на компьютер жертвы. "Злоумышленник ставит программу, которая позволят получить пароли администратора сети, потом он ходит по разным компьютерам и получает полный доступ,— рассказывает Илья Сачков.— Мы расследовали случай, когда злоумышленники контролировали всю банковскую сеть, похитив большую сумму с корсчета, которую потом распылили по разным счетам и обналичили. У них был доступ на почтовый сервер, главные серверы, и они читали, как банк реагировал на расследование".
Подлом через газету
Другой способ попасть на компьютер к сотруднику банка — массовый, уходящий, как говорят эксперты, в прошлое. Мошенники совершают так называемый подлом популярных сайтов, например деловых и новостных изданий, юридических или государственных справочников. Незаметно для их владельцев хакеры встраивают в сайт небольшую программу, которая проверяет у всех посетителей, какой у них браузер, операционная система, флеш-проигрыватель, pdf-ридер, версии их обновлений и пр. "Таким образом находится уязвимое программное обеспечение — в среднем у 13-15% посетителей",— рассказывает Дмитрий Волков. Кстати, сейчас этот способ, по данным Group-IB, активно используется для заражения троянами и краж денег со смартфонов на Android. Затем через обнаруженные черные ходы на компьютер загружаются программы, которые проверяют, в частности, есть ли у него связь с банковскими или бухгалтерскими программами, какой антивирус стоит и пр. Часть таких компьютеров может оказаться в банке.
Но злоумышленники не знают, на какой компьютер они попали. Чтобы справиться с проблемой, они, например, загружали модифицированную вредоносную программу, выясняющую, есть ли следы работы с банковскими или бухгалтерскими приложениями. "В некоторых случаях это работает: повезет, и
один из тысячи взломанных окажется компьютером бухгалтера, антивирус на нем плохой, появляется возможность украсть деньги",—
поясняет Волков. Если дело касается проникновения в банковскую сеть, то мошенники в последнее время, проникнув в компьютер, часто используют законные или бесплатные инструменты удаленного управления. Это раньше нужно было писать трояны, сейчас система хищений в банках сильно автоматизируется и удешевляется, проникновение в банковскую сеть, отмечает Group-IB, "не требует особого опыта или труднодоступного программного обеспечения".
Украсть и обналичить
По словам источника в управлении К МВД, за обналичку киберпреступники платили 30-60% от похищенного, в зависимости от "чистоты" денег, сложности схем. Если сумма большая, деньги распыляются: скажем, заранее покупается так называемый зарплатный проект, когда 50 млн рублей через юрлицо выводится на 50 банковских карт.
Или деньги летят, например, на две тысячи Qiwi-кошельков и 100 тыс. сим-карт, а с них — на банковские карты. Для снятия денег нанимают людей, которым приходится "светиться" у банкоматов; им платят около 5% от снятого.
Если же нужно получить много и сразу, человека отправляют в отделение банка с заверенными документами от директора фирмы-однодневки, и он получает все через кассу. Когда группы, занимающиеся обналичиванием, распадаются или уходят на дно, хищения временно прекращаются. Впрочем, обналичить деньги можно где угодно, говорит Эльмар Набигаев: хакеры успешно пользуются зарубежными счетами.
Атака на банкомат
Новые технологии меняют схему. Проникнув в сеть банка, можно украсть деньги из банкоматов. "Сейчас хакеры проникают в корпоративную сеть банка, находят банкоматную сеть, то есть внедряются на компьютеры сотрудников, которые эти банкоматы обслуживают, и загружают вредоносное ПО на банкоматы",— рассказывает Набигаев. Сообщники хакеров, занимающиеся обналичиванием, подходят к банкоматам, а хакер удаленно дает команду устройству на выдачу наличных. Такая схема кражи денег, по его словам, набирает популярность. Случаи подобных хищений попадали в СМИ, но суммы краж, а также владельцы банкоматов не уточнялись.
Схема удобна хакерам тем, что небольшое число обнальщиков позволяет обчистить много банкоматов. "Банки могут это не сразу заметить, так как инкассация банкоматов не ежедневная, а банковские системы могут сообщать, что деньги в банкоматах еще есть,— говорит Набигаев.— Может пройти неделя, пока выяснится: деньги похищены. Найти злоумышленников трудно, так как время уже потеряно, а следы их преступления, как правило, заметаются — например, хакеры отключают камеры на банкоматах".
Проникнув в компьютерную систему финансовой организации, в июле 2016 года группа молодых людей в масках организованно атаковала 34 банкомата одного из крупнейших тайваньских банков, First Bank, унеся 83,27 млн тайваньских долларов (более $2 млн).
В августе по аналогичной схеме было похищено 12 млн бат (около $350 тыс.) из 21 банкомата Government Savings Banks в Таиланде. В сентябре подобные атаки, отмечает Group-IB, были зафиксированы в Европе, однако огласке их не предали.
"Этапы киберхищения денег у банков"
|
Весной этого года двое из организаторов хакерской группы Carberp были приговорены к пяти и восьми годам лишения свободы. Их жертвами стали более тысячи российских граждан, а общая сумма хищений составила около $10 млн, это при том, что доказать удалось далеко не все эпизоды. Хакеры создали бот-сеть с использованием банковского трояна Carberp, на долю которого приходится 72% заражений финансово-кредитных учреждений в мире. Вирус попадал в компьютеры пользователей при посещении зараженных сайтов, среди которых были популярные финансовые порталы. Специальная программа-загрузчик определяла тип системы дистанционного банкинга используемой на компьютере, и подбирала подходящий модуль вируса.
Хотя организаторов группы поймали и привлекли к ответственности, исходные тексты вредоносного Carperp были опубликованы в Интернете в общем доступе, и уже появляются его различные модификации под банки Европы и Латинской Америки.
Дистанционное банковское обслуживание (ДБО) - наиболее привлекательный объект для атаки хакеров. Они тщательно подбирают банки с большим оборотом средств в ДБО и атакуют их системы.
По данным Group-IB, ежедневно в российских банках совершается около 28 хищений, при этом у юридических лиц сумма хищения в среднем составляет 1,6 млн руб., у физических лиц - 75 000 руб.
Когда ключи электронной подписи хранились на флешках или компьютерах, кражи совершались моментально и очень просто. Тогда банки начали переходить на токены - компактные USB-брелоки, которые служат для авторизации пользователяи безопасного удаленного доступа к данным. Но и они не стали панацеей - разработчикам хакерской группы Carberp потребовалось не так много времени для создания подходящего вируса для обхода системы защиты и незаметной подмены реквизитов легального платежного поручения.
Пытаясь защитить своих клиентов, банки стали внедрять одноразовые пароли, которые отправляются владельцу карты или счета по sms.Однако им злоумышленники с успехом противопоставляют социальную инженерию и фишинговые страницы, похожие на реальные страницы интернет-банков. Именно одноразовые sms-пароли стали причиной недавнего инцидента с ДБО крупного российского банка. Мошенники просто взламывали личные кабинеты абонентов на сайтах мобильных операторов и настраивали услугу переадресации sms. Перенаправляя sms-сообщения клиентов на свои номера, они получали доступ к их учетным записям в интернет-банке и переводили средства на счета подставных лиц — клиентов банка.
Что касается краж, совершаемых сотрудниками компаний, схема довольно простая: злоумышленник выводит средства на обналичивание, заражает компьютер вирусом и списывает хищение на вирус.
Наличие большого количества сервисов по обналичиванию средств в России существенно облегчает экономическую часть преступления. Тем не менее, расследовать такие инциденты профессионалу достаточно просто - обычно даже первичная экспертиза определяет отсутствие банковского вируса, а если он и есть, то обнаруживается, что его не использовали.
Основным направлением защиты от мошенничеств в ДБО сегодня является создание таких систем, которые способны определить, что рабочая станция клиента заражена, а проводимая операция является хакерской атакой.
Последние два года в России также очень активно развивается сегмент решений класса TrustScreen. Они позволяют выводить реквизиты платежного поручения на экран устройства, которое устанавливается между рабочей станцией и токеном и блокировать операцию подписи до тех пор, пока клиент не проверит их корректность и не нажмет кнопку подтверждения. Такая архитектура не позволяет незаметно для легального пользователя подменить какой-либо документ в системе Интернет-банкинга. На Западе решения со схожим функционалом используются уже несколько лет и довольно хорошо себя зарекомендовали.
Хотя, если принимать врасчет невнимательность и легковерность многих пользователей систем ДБО, 100% защиты от атак у банков так и не существует. Хакерская работа становится все более продуманной, повсеместно используются не только технические средства, но и социальная инженерия. Кроме того, данные могут быть украдены не по вине банка, однако он все равно понесет убытки. Так, в США хакеры украли данные о пластиковых картах почти 70 миллионов клиентов у американской розничной сети Target, и банкам пришлось потратить $200 млн на их перевыпуск. Тем не менее, при правильном подходе к процессу относительно несложно снизить риски до приемлемого уровня и выстроить систему, которая в случае атаки поможет оперативно расследовать инцидент и минимизировать ущерб от него.
Банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети. Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер.
При наличии доступа к внутренней сети банка специалистам Positive Technologies удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогли бы вывести деньги последователи группировки Cobalt, использующие аналогичные методы взлома. Перевести средства на собственные счета через системы межбанковских переводов, на которые нацелены группировки Lazarus и MoneyTaker, было бы возможно в 17% банков.
В 17% банков недостаточно защищены системы карточного процессинга, что позволяет злоумышленникам манипулировать балансом на своих карточных счетах, как мы это видели в начале 2017 года в атаках на банки Восточной Европы. Группировка Carbanak, отличающаяся своим умением успешно проводить атаки на любые банковские приложения, смогла бы похитить средства более чем у половины банков, протестированных экспертами. В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требуется всего четыре шага для получения доступа к банковским системам.
В отчете отмечается, что уровень защиты сетевого периметра в банках значительно выше, чем в других компаниях: за три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Однако и такой уровень весьма далек от идеала, учитывая высокую финансовую мотивацию атакующих и отсутствие во многих банках практики анализа защищенности кода онлайн-сервисов на этапах проектирования и разработки. При проведении тестов на проникновение во всех случаях получению доступа способствовали уязвимости в веб-приложениях (методы социальной инженерии не применялись). Подобные способы проникновения использовали в своей деятельности, например, группировки ATMitch и Lazarus.
Большую опасность для банков представляют также интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю. Среди наиболее распространенных — протоколы SSH и Telnet, которые встречаются на периметре сети свыше половины банков, а также протоколы доступа к файловым серверам (в 42% банков).
Но самое слабое звено — сотрудники банков. Злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода — фишинга, который доставляет вредоносное ПО в корпоративную сеть. Фишинговая рассылка электронных писем в адрес сотрудников банка осуществляется как на рабочие адреса, так и на личные. Такой метод для преодоления периметра применялся практически каждой преступной группировкой, в том числе Cobalt, Lazarus, Carbanak, Metel, GCMAN. По оценкам Positive Technologies, в среднем в банках по фишинговой ссылке переходили около 8% пользователей и 2% запускали вложенный файл. В исследовании также приводятся примеры объявлений с хакерских форумов с предложениями услуг со стороны внутренних злоумышленников в банках. По оценкам экспертов, в некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего только физическим доступом к сетевым розеткам (уборщик, охранник). Другой вариант первичного распространения вредоносного ПО — взлом сторонних компаний, которые не столь серьезно относятся к защите своих ресурсов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как в случае Lazarus и Lurk.
После того, как преступники получают доступ к локальной сети банка, им необходимо завладеть привилегиями локального администратора на компьютерах сотрудников и серверах — для дальнейшего развития атаки. Типовые векторы атак базируются на двух основных недостатках — слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.
Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система. Приблизительно в половине систем слабые пароли устанавливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей. В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres).
Внутри сети атакующие свободно перемещаются незамеченными с помощью известных уязвимостей и легитимного ПО, которое не вызывает подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.
«Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты, — говорит аналитик Positive Technologies Екатерина Килюшева. — Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них с помощью постоянного мониторинга событий безопасности силами внутреннего или внешнего подразделения SOC, а также SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий ИБ».