Большая охота за банками

На саммите аналитиков по информационной безопасности SAS-2016 эксперты «Лаборатории Касперского» рассказали о нескольких группировках хакеров, специализирующихся на банковских мошенничествах. Мошенники научились зарабатывать по-крупному: теперь жертвами зачастую становятся уже не клиенты, а сами банки.

О том, что кибермошенники переносят фокус своего внимания с клиентов банков на сами банки, специалисты по информационной безопасности говорят весь год. При этом банковские информационные системы всегда гораздо лучше защищены, чем компьютеры и смартфоны клиентов. Но если раньше хакеры били по слабому звену, теперь лучшие из них идут туда, где концентрация денег выше. И у них получается.

Специалисты глобального центра исследований и анализа угроз «Лаборатории Касперского» рассказали о деятельности трех высококвалифицированных хакерских групп, особо хитроумно атаковавших банки.

Metel, он же Corkow

Впервые троянец Metel эксперты обнаружили в 2011 году, но тогда его владельцы интересовались преимущественно деньгами корпоративных клиентов банков. О его повадках мы уже писали два года назад. Попав на компьютер жертвы, Metel начинал отслеживать последовательности нажатий клавиш, перехватывать данные, вводимые в веб-формы, и красть пароли от различных сервисов. Помимо этого, Metel искал в системе процессы, принадлежащие системам «Банк – клиент», трейдинговым приложениям, приложениям электронных кошельков, и внедрялся в некоторые из них.

В 2015 году Metel/Corkow стал использоваться целенаправленно против банков. Так, осенью прошлого года компания Group-IB рассказала об атаке на казанский Энергобанк. Тогда Corkow, внедренный в биржевые терминалы, провел сделки на покупку 158 млн долларов США и продажу 93 млн долларов США. Это вызвало кратковременное колебание курса доллара от 55 до 66 рублей, ущерб составил более 300 млн рублей.

В том же 2015 году эксперты «Лаборатория Касперского» выявили еще более остроумный способ использования Metel/Corkow. Хакеры внедряли троянца на компьютеры сотрудников банка, пока не обнаруживали компьютер, оператор которого имел полномочия отмены трансакций (сотрудник службы поддержки или кол-центра).

После успешного заражения преступники снимали деньги с карты этого банка в банкоматах других банков, а Metel отменял эти трансакции. Таким образом, карта становилась неисчерпаемой, и с ее помощью было обчищено несколько банкоматов.

GCMAN

Группа GCMAN использовала интересную тактику проникновения. Точнее, первоначальное проникновение производилось вполне традиционно, с помощью фишинговых писем с вредоносным вложением. Таким путем преимущественно заражались компьютеры HR-специалистов и бухгалтеров.

После этого троянец начинал вызывать сбои в работе Microsoft Word или приложения 1C. Сотрудник, работающий за компьютером, вызывал системного администратора, тот заходил в систему под своими учетными данными, а троянец при этом их перехватывал и использовал для дальнейшего распространения по сети банка.

Обнаружив компьютер с установленным ПО для денежных переводов, хакеры, удаленно управляя им в моменты отлучек оператора, переводили небольшие суммы, укладывающиеся в лимит анонимных платежей, на электронные кошельки. «Лаборатория Касперского» отказалась назвать, какая именно система электронных кошельков использовалась для вывода денег, сославшись на тайну следствия. Но источники на рынке утверждают, что чаще всего в аналогичных случаях используются кошельки QIWI.

Carbanak

Если в двух предыдущих случаях авторы и владельцы троянцев, скорее всего, русскоговорящие, то группа Carbanak, по словам экспертов «Лаборатории Касперского», – международная, в нее входят преступники из России, Китая, с Украины и из некоторых стран Европы. Троянец известен с 2013 года и «всеяден»: его «ловили» не только в банках, но и в финансовых департаментах крупных компаний.

Еще год назад эксперты посчитали, что атаки Carbanak обошлись различным компаниям примерно в миллиард долларов. Несколько месяцев назад группировка активизировалась вновь.

Проникновение в сеть производится традиционным методом: через фишинговые письма с вредоносным вложением. Это очень достоверно выглядящие письма, составленные специально для получателя. Хакеры предварительно изучают возможное «слабое звено» в банке, определяя, с кем и на какие темы может переписываться сотрудник. В результате вредоносное письмо не вызывает у жертвы никаких подозрений, она спокойно открывает приложенный файл и заражает свой компьютер.

Если Carbanak успешно крадет учетные данные администратора, он распространяется по сети, и хакеры тщательно изучают деятельность сотрудников банка. Причем троянец не только перехватывает последовательности нажатых клавиш, но и передает видеозапись с рабочего стола, где хорошо видно, что сотрудник банка делает на компьютере.

В завершение операции хакеры перехватывали управление оставленными без присмотра компьютерами, где были установлены системы управления денежными переводами, и выводили деньги различными путями, в том числе и переводами через SWIFT. На одну операцию уходило от двух до четырех месяцев, прибыль составляла десятки миллионов долларов.

Всего «Лаборатории Касперского» стало известно о 29 банках, пострадавших от этих трех групп. На деле их может быть гораздо больше. Расследование продолжается, но тенденция уже ясна: такое повышенное внимание, уделяемое хакерами кредитным организациям, обусловлено тем, что киберпреступники начинают заметно опережать банки в соревновании защитных и атакующих технологий.

Михаил ДЬЯКОВ, Banki.ru