Деньги из ЦБ крадут призрачные хакеры

К масштабным хакерским атакам на российские банки могут быть причастны сразу две крупные хакерские группировки. Об этом в блоге Group-IB рассказал генеральный директор компании Илья Сачков. Изначально говорилось о том, что угроза Cobalt — лишь ответвление от группировки MoneyTaker. Однако, проанализировав стиль работы злоумышленников, специалисты пришли к выводу, что за этими группами могут стоять абсолютно разные люди.

Центр мониторинга и реагирования на компьютерные атаки Банка России — «ФинЦЕРТ» — признал, что только за 2017 год Cobalt нанес ущерб финансовой системе на один миллиард рублей, совершив 240 атак, 11 из которых прошли успешно. Данные о пострадавших учреждениях конфиденциальны, однако о двух жертвах известно точно.

В конце декабря 2017 года злоумышленниками были атакованы банк «Глобэкс» и «Севастопольский морской банк». По информации СМИ, со счетов «Глобэкса» злоумышленники смогли снять около одного миллиона долларов, при этом президент банка Валерий Овсянников заявил, что счета клиентов не пострадали. А у севастопольского банка хакеры украли от 10 до 24 миллионов рублей.

Group-IB считает, что Cobalt — одна из самых активных хакерских групп в мире. Первая атака в России была зафиксирована в июне 2016 года. Тогда злоумышленники попытались получить доступ к банкоматам. Но служба безопасности среагировала вовремя и отключила доступ к интернету. Как оказалось, это было лишь тестирование нового подхода к целевым атакам на банки, которые показывают хорошие результаты.

У MoneyTaker результаты скромнее. За полтора года они атаковали 20 банков, 16 из которых — американские. Хакеры украли порядка полумиллиона долларов со счетов в иностранных банках и более 76 миллионов рублей — в российских.

В чем разница?

Первое принципиальное различие Cobalt и MoneyTaker заключается в стиле работы. По словам Ильи Сачкова, Cobalt оставляет больше цифровых следов. Это происходит из-за того, что группировка делает ставку на массовость атаки — Cobalt атакует как можно больше банков. Хакеры понимают, что большинство отобьется, зато другие станут законной добычей.

Группа MoneyTaker действует иначе: индивидуально подстраивается под те варианты защиты, которые используют разные финансовые учреждения. Удары хакеров нацелены на системы безопасности конкретных банков, а правки в коды злоумышленники вносят прямо во время атак.

Команда криминалистов Group-IB отмечает, что у группировок — разные способы выводов средств.

Для обналичивания MoneyTaker используют взломанную систему управления корреспондентскими счетами АРМ КБР (автоматизированное рабочее место клиента Банка России. — Примеч. «Шторма»). Более подробно об их деятельности мы писали в начале декабря.

У Cobalt — другой путь. Сама суть их атак — это вывод средств.

Группировка старается получить доступ к системе управления международными переводами SWIFT. И далее — к банковским картам или банкоматам.

Происходит примерно следующее: хакеры рассылают в банки фейковые письма (прием называется «фишинговая рассылка». — Примеч. «Шторма»), с помощью которых внедряют вредоносную программу Cobalt-Strike, анализирующую ту систему, в которую попала. Когда хакеры с помощью этого ПО находят уязвимости, группировка берет под свой контроль внутреннюю сеть банка. Далее Cobalt переходит к поиску отдельных сегментов сети, связанных напрямую с банкоматами, и начинается самое интересное.

К банкомату подходит мужчина в маске, звонит по телефону, после чего аппарат выдает всю находящуюся в нем наличность. После снятия денег запускается программа для уничтожения информации. Таким образом в июле 2016 года злоумышленники опустошили несколько десятков аппаратов тайваньского банка First Bank. Сумма ущерба составила более 2,2 миллиона долларов.

Новый игрок или программа?

Эксперты отмечают, что методы Cobalt стали трендом последних двух лет, а основная опасность заключается в масштабе их атак. Зампред ЦБ Дмитрий Скобелкин, выступая на форуме по информационной безопасности финансовой среды, заявил, что цели хакеров непредсказуемы:

«Проводятся массовые веерные атаки, и если вредоносное программное обеспечение попадает в информационную систему банка, злоумышленники продолжают действовать до победного финала — момента вывода денег».

При этом остается открытым вопрос о личностях злоумышленников. Коллеги Group-IB из «Лаборатории Касперского» и вовсе уверены в том, что группировки Cobalt не существует:

«Наши исследования показывают, что Cobalt — это не группа, а набор программ Cobalt Strike для получения несанкционированного доступа к компьютерам и проведения тестов на проникновение. Стоимость данного набора составляла 3500 долларов. Самая крупная волна атак на банки пришлась на 2014 год, когда группа злоумышленников атаковала российские банки с помощью вредоносной программы Carbanak», — говорится в ответе компании.

Также в «Лаборатории Касперского» добавили, что в 2017 году начался всплеск активности, так как набор стал доступен на пиратских сайтах совершенно бесплатно. А образцы вредоносного ПО были впервые собраны в августе 2013 года, и спустя пять месяцев начались первые заражения.