Ограбление на миллиард

Interfax-Russia.ru – "Лаборатория Касперского", Европол и Интерпол раскрыли похищение $1 млрд из 100 финансовых организаций по всему миру, в том числе из России.

Беспрецедентную киберпреступную операцию осуществляли члены международной криминальной группировки, получившей название Carbanak. В нее входили киберпреступники из России, Украины, ряда других европейских стран, а также Китая.

Как выяснили эксперты, для похищения средств использовались методы, характерные для целевых атак. Однако в отличие от многих других инцидентов это ограбление знаменует собой новый этап: теперь киберпреступники могут красть деньги напрямую из банков, а не у пользователей.

"Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке программного обеспечения, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные. Это действительно профессиональное ограбление", - рассказывает ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов.

В процессе вторжения в банковскую сеть похищались наиболее крупные суммы денег - за каждый такой "рейд" злоумышленники крали до $10 млн. В среднем ограбление одного банка - от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей - занимало у хакеров от двух до четырех месяцев.

Преступная схема начиналась с проникновения в компьютер одного из сотрудников организации посредством фишинговых приемов (массовые рассылки электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков). После заражения машины вредоносным программным обеспечением злоумышленники получали доступ к внутренней сети банка, находили компьютеры администраторов систем денежных транзакций и разворачивали видеонаблюдение за их экранами.

Таким образом, банда Carbanak знала каждую деталь в работе персонала банка и могла имитировать привычные действия сотрудников при переводе денег на мошеннические счета.

В некоторых случаях злоумышленники проникали в системы бухгалтерского учета и при помощи мошеннических транзакций "раздували" баланс средств на счете. Например, преступники узнавали, что на счете хранилась $1 тыс., тогда они увеличивали баланс до $10 тыс., а затем переводили $9 тыс. себе. Владелец счета ничего не подозревал, поскольку имевшаяся изначально $1 тыс. по-прежнему была на месте.

Когда приходило время забирать деньги, киберпреступники использовали онлайн-банкинг или платежные системы для перевода денег со счета банка на свой собственный. Мошеннические счета были открыты в банках Китая и Америки, однако эксперты не исключают, что преступники также могли хранить украденные деньги в банках других стран.

Помимо всего прочего, киберграбители получали контроль над банкоматами и активировали команды на выдачу наличных в установленное время. После этого к банкомату подходил кто-нибудь из членов банды и забирал деньги.

Кстати, как выяснил New York Times, начало расследованию деятельности этой международной группировки киберпреступников положил случай с "взбесившимся" банкоматом в Киеве. Банкомат вдруг начал выдавать деньги в совершенно произвольные моменты, даже если никто не вставлял в него карточки и не прикасался к кнопкам. Камеры зафиксировали, что деньги забирали люди, случайно оказавшиеся рядом в тот момент.

Когда для расследования инцидента привлекли "Лабораторию Касперского", эксперты выяснили, что проблемы с банкоматом меркнут на фоне реальных действий злоумышленников. Внутренние компьютеры банка, используемые для ведения учета и переводов средств, оказались пронизаны вредоносными программами, позволяющими киберпреступникам контролировать каждое действие.

Киберограбление продолжалось два года. Вместе с экспертами "Лаборатории Касперского" его расследованием занимались Европол и Интерпол. Деятельность киберпреступников из банды Carbanak затронула около 100 банков, платежных систем и других финансовых организаций из почти 30 стран, в том чиле из России, США, Германии, Китая, Украины, Канады, Гонконга, Тайваня, Румынии, Франции, Испании, Норвегии, Индии, Великобритании, Польши, Пакистана, Непала, Марокко, Исландии, Ирландии, Чехии, Швейцарии, Бразилии, Болгарии и Австралии.

New York Times подтвердили факт расследования в Интерполе и подразделении голландской полиции по расследованию высокотехнологичных преступлений - Dutch High Tech Crime Unit. В правительстве США И ФБР также знают о результатах расследования, но им требуется время, чтобы подтвердить факт нанесения урона финансовым организациям и оценить убытки.

О киберпреступлении знает и промышленный консорциум, предупреждающий банки о злонамеренной активности - Центр анализа и обмена информацией между финансовыми службами. Консорциум также распространил соответвующую информацию среди своих участников. С рядом заявлений выступили и представители правоохранительных органов.

Вместе с тем, как отмечает New York Times, пока ни один из банков не признался в хищении средств со счетов. Издание предполагает, что подобная тишина вокруг расследования частично связана с нежеланием банков признавать, что их системы безопасности оказались настолько уязвимыми, и частично с тем, что кибератаки все еще продолжаются.

Директор центра Интерпола, занимающегося расследованием киберпреступлений Санджай Вирмани отмечает, что эти атаки служат очередным подтверждением того, что злоумышленники неизменно будут эксплуатировать любую уязвимость в любой системе. "В таких условиях ни один сектор не может чувствовать себя в абсолютной безопасности, поэтому вопросам защиты стоит постоянно уделять внимание", - подчеркнул Вирмани.

Со своей стороны эксперты "Лаборатории Касперского" рекомендует всем финансовым организациям внимательно просканировать свои сети на наличие вредоносного программного обеспечения Carbanak. А в случае его обнаружения - обратиться к правоохранительным органам.

Обозреватель Анастасия Николаева

Присоединяйтесь к Interfax-Russia в "Twitter‘е", "Вконтакте" и на "Facebook"