Те хакеры, которые пока, видимо, не разобрались в блокчейне, по старинке атакуют традиционные российские банки. Однако теперь они пытаются сразу уводить средства за рубеж, через платежную систему SWIFT. И успешно.
В России впервые осуществлена хакерская атака, притом успешная, на банк с помощью международной системы переводов SWIFT. Об этом 19 декабря сообщила Group-IB – российская компания, специализирующаяся на борьбе с киберпреступностью. По словам экспертов по кибербезопасности, к взлому причастна группировка Cobalt, самая активная в интернет-пространстве, да еще и, поговаривают, с российскими корнями. «Фонтанка» выясняла, почему невозможно узнать, какой именно банк пострадал от хакеров, что мешает кредитным организациям застраховать подобные репутационные риски и может ли клиент банка самостоятельно оценить его защищённость.
Никогда раньше
«Атаки на международную систему банковских расчетов SWIFT по всему миру – это тенденция этого и предыдущего годов, – рассказал «Фонтанке» ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. – В 2017-м киберпреступники значительно расширили спектр атакуемых финансовых организаций: от их действий страдали не только банки, но и системы электронных денег, биржи криптовалют, фонды управления капиталом и даже казино». «Это первый инцидент в России, когда деньги были похищены с помощью SWIFT, – уточнил руководитель департамента Threat Intelligence (Киберразведка. – Прим. ред.) Group-IB Дмитрий Волков. – Это представляет серьезную угрозу для российских банков».
У SWIFT в России есть аналог – система межбанковских платежей Центрального Банка России. По данным ЦБ, на 1 декабря 2017 года к ней подключено 355 банков из 600 «с хвостиком», имеющих аккредитацию ЦБ. Более того, сообщалось, что Центробанк будет переводить сервис на столь модную ныне технологию блокчейн – как раз для обеспечения максимальной защиты. Тем не менее пока, по словам Дмитрия Волкова, инцидентов с центробанковской системой в России очень много. «Больше, чем со SWIFT во всём мире, – уточняет киберразведчик. – Однако, когда деньги похищались через российскую систему ЦБ, обналичивание могло быть только внутри РФ, ведь деньги могли поступить только в другой российский банк. Это сильно упрощало процедуру реагирования, блокирования денежных средств, расследования. В случае со SWIFT денежные средства будут выводиться за рубеж. Остановить такие операции сложнее. И сложнее расследовать подобные инциденты».
И вот опять
Согласно предварительному анализу Group-IB, к инциденту с выводом из России средств с использованием хакерской атаки причастна группа кибер-преступников Cobalt. Опять же предположительно хакеры имеют российские корни. Летом 2016 года они заставили банкоматы на Тайване и в Таиланде в буквальном смысле выбрасывать деньги, а в первой половине 2017 года атаковали более 250 организаций по всему миру, рассылая письма от имени Visa и MasterCard. За 2017 год, как подсчитали эксперты, группа совершила не менее 50 успешных атак по всему миру, постоянно тестируя новые инструменты, изменяя векторы атак и цели. «Практически каждую неделю мы фиксируем их почтовые рассылки с вредоносными программами внутри», – констатируют повышенную активность участников преступного кибер-сообщества в Group-IB.
«Проникновение в банк произошло через фишинговую рассылку с вложенным вредоносным файлом, который рассылался группировкой несколько недель назад по банкам. В среднем промежуток от проникновения до вывода денег составляет три-четыре недели, средняя сумма хищения – 100 млн рублей», – уточнил вирусный аналитик Group-IB Андрей Зосимов.
Меж тем в «Лаборатории Касперского» считают, что Cobalt – это не конкретная группа, а набор программ «Cobalt Strike» для получения несанкционированного доступа к компьютерам и проведения тестов на проникновение. «Стоимость данного набора составляла $ 3,500, – точно знает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. – Самая крупная волна атак на банки пришлась на 2014 год, когда группа злоумышленников атаковала российские банки с помощью вредоносной программы Carbanak. В последний год мы фиксируем увеличение данной активности не только в РФ, но и во всём мире, так как данный набор программ стал доступен на пиратских сайтах бесплатно. Также Carbanak стали первой группировкой, которые выводили средства из финансовой организации на свои счета, используя сеть SWIFT».
Имя, сестра!
Обычному клиенту узнать, что на его банк была совершена атака, скорее всего, не удастся. Ни какой именно банк был успешно атакован через главную межбанковскую систему планеты SWIFT, ни масштаб ущерба не сообщаются. «К сожалению, реестра уязвимых или атакованных банков нет в открытом доступе, – говорит сотрудник Group-IB Дмитрий Волков. – Эти данные концентрируются в ЦБ РФ, т.к. банки обязаны отчитываться о подобного рода инцидентах». В Центробанке комментировать «Фонтанке» причины закрытости столь важной для вкладчиков информации не стали, но подтвердили, что не раскрывают список банков, которые становятся жертвами хакеров.
Однако, как уверяют в Group-IB, клиенты банков вовсе не страдают от хакерских атак такого рода. «Поскольку мы говорим про систему межбанковских переводов, то деньги похищаются не с расчётных счетов клиентов банка, а с корреспондентского счёта, – пояснил киберразведчик Волков. – Ущерб несёт непосредственно банк. Клиенты не страдают. Есть риск, что действия злоумышленников могут повлиять на финансовую стабильность банков, но это касается только очень маленьких банков. Крупные банки навряд ли могут серьёзно пострадать от такого рода атак. А маленькие банки могут вовсе не иметь подключения к системе SWIFT».
Дмитрий Волков замечает, что хакеры, скорее, совершают «обратную эволюцию». «Люди, которые проводят целенаправленные атаки на банки, ранее специализировались на атаках именно на клиентов банков, – соглашается эксперт Group-IB. – Просто сумма потенциального заработка с частными счетами значительно ниже, а риски примерно те же. Поэтому атакующий постепенно набирает квалификацию и прекращает атаковать отдельных клиентов банков».
Банковская доля
Тем не менее с ростом интернет-угроз банкам, чтобы стабильно функционировать, все равно придется дополнительно вкладываться в защитные системы.
И проблема, как отмечают эксперты по кибербезопасности, в данном случае находится не на уровне SWIFT, от которой, к слову, Россию и так грозились отключить, но потом передумали. «Точно не было никакой уязвимости в самой системе SWIFT, – уверен Дмитрий Волков. – Был стандартный способ проникновения в сеть банка». По мнению эксперта Group-IB, проблема не решится, если сами банки не будут соблюдать меры безопасности. «Грамотность служб безопасности в банках, безусловно, растет, – отдает должное банковским работникам эксперт Group-IB. – Но проблема в том, что атакующие традиционно на шаг впереди, и банки без должного обмена информацией не знают, на что надо обращать внимание».
Тем не менее в отчете Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ сообщается, что, по состоянию на 1 сентября 2017 года, в информационном обмене участвуют уже 418 кредитных организаций и филиалов, и это на 65% больше, чем годом ранее. При этом, по данным ЦБ, заметный рост числа участников наблюдался в январе-феврале 2017 года, как раз после серии рассылок злоумышленниками загрузчиков Cobalt Strike в адрес кредитных организаций.
«Даже если мы дадим им серебряную пулю, которая защитит от всех проблем, всегда остаются вопросы, как банки будут с этой серебряной пулей работать, – все равно считает, что «разруха в головах», Дмитрий Волков. – И блокчейн нас тоже всех не спасет, потому что это всего лишь технология, которая позволяет делать в данном случае какие-то транзакции. Но безопасность рабочих мест сотрудников банков при этом останется точно такая же».
«До 70% атак по-прежнему осуществляются путем социальной инженерии, сотрудники остаются самым слабым звеном», – пояснили «Фонтанке» в международной компании по разработке антивирусного программного обеспечения ESET. В этой связи бизнес по поддержанию информационной безопасности, судя по всему, в будущем окончательно станет сверхприбыльным, как, например, продажа лекарств для людей. Так, ESET на 2018 год прогнозирует пятидесятипроцентный рост расходов на информационную безопасность только в финансовом секторе российской экономики.
Николай Нелюбин, специально для «Фонтанка.ру».