Россия / Точка зрения 2 июня 2016 г. 16:55

Троян на миллиарды

Interfax-Russia.ru – ФСБ и МВД при поддержке Нацгвардии задержали в 15 российских регионах около 50 хакеров, причастных к хищениям в финансовых учреждениях.

Троян на миллиарды
© РИА Новости. Владимир Астапкович

Сотрудники ФСБ России совместно с МВД пресекли деятельность хакерской группы, причастной к созданию, распространению и использованию вредоносной компьютерной программы. Как сообщили "Интерфаксу" в ЦОС ФСБ России, с ее помощью злоумышленники похитили более 1,7 млрд рублей со счетов российских финансовых учреждений.

В ходе следственных действий, проведенных одновременно в 15 регионах РФ, сотрудники ФСБ и МВД при силовой поддержке Федеральной службы войск Нацгвардии РФ задержали около 50 человек. С помощью авиации Национальной гвардии фигурантов уголовного дела доставили в следственные изоляторы Москвы.

На основании оперативных материалов ФСБ России Следственный департамент МВД РФ возбудил уголовное дело по признакам преступлений, предусмотренных частями 1, 2 ст.210 УК РФ (организация преступного сообщества и участие в нем) и ч.4 ст.159.6 УК РФ (мошенничество в сфере компьютерной информации).

Членам преступной группы уже предъявлено обвинение: 18 из них были заключены под стражу, трем избрали меру пресечения в виде подписки о невыезде.

В ходе обысков сотрудники правоохранительных органов изъяли большое количество компьютерной техники, средств связи, банковских карт, оформленных на подставных лиц, а также финансовые документы и значительные суммы наличных денежных средств, подтверждающие противоправный характер их деятельности.

В свою очередь, официальный представитель МВД России Ирина Волк сообщила "Интерфаксу", что в результате оперативных мероприятий были заблокированы фиктивные платежные поручения на 2 млрд 273 млн рублей.

По ее словам, в ходе обысков были получены материалы, подтверждающие причастность подозреваемых к созданию бот-сетей зараженных компьютеров, организации целевых атак на инфраструктуру кредитно-финансовых и государственных учреждений и совершение хищения денежных средств.

Волк рассказала, что с середины 2015 года по настоящее время по всей стране было зафиксировано 18 целевых атак на автоматизированные рабочие места клиентов банков, ущерб от которых превысил 3 млрд рублей. При этом полиция смогла предотвратить возможный ущерб на сумму 2 млрд 273 млн рублей.

Как оказалось, выйти на след преступников помогло участие в операции специалистов "Лаборатории Касперского" - они провели тщательный анализ вредоносного программного обеспечения, в результате чего была выявлена сетевая инфраструктура группы атакующих, установлены их личности и собраны доказательства их причастности к киберпреступлениям.

По информации "Лаборатории Касперского", атаки с участием троянца Lurk начали фиксировать с июля 2011 года. Как поясняют эксперты, конечная цель "зловреда" – доступ к системе дистанционного банковского обслуживания для непосредственной кражи денег.

Однако помимо клиентов банков и самих финансовых организаций, злоумышленники, использовавшие вирус, интересовались также веб-ресурсами СМИ и новостных агрегаторов, поскольку размещение троянца на таких популярных страницах открывало им возможность широкого распространения зловреда. Заражение жертв обычно происходило либо через взломанные сайты, либо через программы-эксплойты, либо через проникновение в наименее защищенный компьютер внутри корпоративной сети организации.

По информации экспертов, данный троянец отличается хорошей технической проработкой – на протяжении пяти лет вирусописатели постоянно совершенствовали его, используя современные технологии. К примеру, он оказался одним из чрезвычайно редких "зловредов", чей вредоносный код не сохраняется на жестком диске зараженного компьютера, а функционирует исключительно в оперативной памяти.

Помимо этого, разработчики всеми возможными средствами старались минимизировать риск детектирования троянца антивирусными программами. Киберпреступники использовали различные VPN-сервисы, анонимную сеть Tor, скомпрометированные или беспроводные точки доступа сторонних пользователей и даже серверы атакованных IT-организаций.

Как отмечает руководитель отдела расследования компьютерных инцидентов "Лаборатории Касперского" Руслан Стоянов, авторы Lurk всегда делали все возможное для того чтобы заразить максимальное количество интересных им жертв, не привлекая при этом внимания аналитиков и правоохранительных органов.

"В ходе анализа нам удалось выяснить, что за троянцем все-таки стояла одна группировка, и, по всей видимости, в нее входили профессиональные разработчики и тестировщики. Наши продукты всегда распознавали и успешно блокировали деятельность зловреда, а арест его создателей, надеемся, приведет к окончательному закату Lurk", - говорит Стоянов.

Проблема информационной безопасности в России, в том числе кредитных учреждений, не первый год стоит на повестке дня. Не случайно особое внимание на это обращал и Центробанк, заявляя, что за низкий уровень информационной безопасности будет применять меры воздействия к банкам.

"Речь идет о том, что информационная безопасность напрямую влияет на финансовые показатели. В тех атаках, которые были совершены, банки иногда теряли весь дневной остаток корреспондентского счета, а с одной организацией мы столкнулись с вопиющим фактом - она фактически за один раз потеряла весь свой капитал. Одна атака - и банк в состоянии, когда ЦБ обязан отобрать у него лицензию. Мы наказываем не за отсутствие или присутствие тех или иных методик и средств обеспечения информационной безопасности - это дело банков, а мы наказываем за то, как банк думает о своей финансовой устойчивости, и это правильно", - пояснял позицию ЦБ заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев.

На Уральском форуме "Информационная безопасность финансовой сферы" он подробно рассказал о том, как злоумышленники проводят хакерские атаки на банки. В частности, по его словам, атака идет на инфраструктуру кредитной организации, причем вброс идет от любого источника - это может быть фишинговое письмо или письмо с трояном. Дальше происходит захват управления всей инфраструктуры, особое внимание уделяется АРМКБР (автоматизированные рабочее место клиента Банка России), подкладывается фиктивный платежный документ, он отправляется в платежную систему Банка России, для которого документ является легитимным, и он принимается к исполнению.

"Интересно то, что те, кто сидит и смотрит за АРМКБР на стороне злоумышленников, как только начинают видеть, что от нас приходит отбой в проведении транзакции или сообщение, что на счету не хватает денег и операция не будет проведена, не только "гасят" АРМКБР, что вполне нормально, а они "валят" всю сеть кредитной организации, потому что под их управлением помимо АРМКБР еще и домен, почтовые серверы и все остальное. Информатизация (информационная служба банка - ИФ-АФИ), естественно, бросается сражаться за выживание кредитной организации. Это приводит к тому, что, во-первых, деньги, которые надо было бы спасать, уже улетели, а во-вторых, в сеть, которая не вычищена после атаки вредоноса, ставится еще одно средство, и оно тут же оказывается под контролем злоумышленников", - рассказал Сычев.

ЦБ РФ совместно с МВД провел экономический анализ хакерских атак. Оказалось, что часто организатор атаки, который должен получать основную часть похищенных средств, получает в лучшем случае 30%. Этот факт дает основания предполагать, что такие атаки используются прежде всего для сокрытия ранее совершенных финансовых преступлений.

"Выводить деньги, чтобы получить 30% - это не очень выгодно, а вот организовать атаку на себя и сказать "вот у меня украли столько денег, и я не могу обслуживать счета своих клиентов", а при этом эти деньги уже давно были выведены с помощью других технологий - вполне возможно", - сказал Сычев, отметив, что три банка в прошлом году лишились лицензии из-за таких атак.

По словам замначальника главного управления ЦБ РФ, в настоящее время внимание злоумышленников сосредоточено на трех вещах - поиск и вербовка инсайдеров, проработка схем монетизации атак, а также поиск уязвимости систем мобильных операторов, их интересуют новые информационные технологии и они готовы вкладывать в это свои средства.

С целью минимизировать риски утечки информации Банк России разработал и предложил кредитным организациям комплекс мер по выстраиванию эффективной системы мониторинга и контроля информационных потоков.

Особое внимание в рекомендациях по обеспечению информационной безопасности организаций банковской системы РФ, уделяется вопросам выявления и предотвращения утечек информации в результате действий самих работников кредитных организаций или лиц, обладающих легальным доступом к внутрибанковской информации.

Рекомендации также касаются вопросов работы банков с конфиденциальной информацией. Кроме того, в документе подробно изложены подходы к организации бесперебойного мониторинга процессов, которые могут представлять угрозу информационной безопасности кредитных организаций.

Одной из основных причин, тормозящих развитие сферы информационной безопасности в банках, эксперты не первый год называют кадровый голод. На эту проблему эксперты указывали еще в 2008 году. Спустя пять лет эта проблема также была отмечена специалистами аналитического центра российского разработчика DLP-систем Zecurion.

Исследования показали, что почти две трети (62,7%) российских банков терпят кадровый голод в области информационной безопасности. В числе основных причин сложившейся ситуации называли недостаток или слабую квалификацию соответствующих специалистов.

В целом, констатируют в Zecurion, на данный момент банковская отрасль стала более зрелой в вопросах информационной безопасности, в том числе и благодаря деятельности ЦБ, изменениям в законодательстве, касающемся защиты персональных данных граждан и, наконец, интересам бизнеса.

Как рассказали Interfax-Russia.ru в компании, учащающиеся инциденты в сфере информационной безопасности приводят к большим потерям вплоть до прекращения деятельности. Поэтому кредитные организации и без кнута со стороны регулятора активно работают над повышением безопасности своих ИТ-систем и сервисов.

Проблема безопасности стала особенно острой с широким распространением сетевых сервисов вроде интернет- или мобильного банкинга. Доступ к сервисам получили многие клиенты, слабо знакомые с компьютером и последними технологиями. Именно они попадают в категорию наиболее вероятных жертв хакеров и других злоумышленников.

Основными направлениями работы специалистов по безопасности в банках в Zecurion называют: организационные меры, повышение осведомленности о существующих угрозах среди сотрудников кредитной организации, а также информирование о рисках клиентов, держателей пластиковых карт, пользователей интернет-банка.

Второе важное направление — это своевременное реагирование на новые угрозы и применение технических средств защиты информации от утечки (DLP-системы). Работа в данных направлениях, считают специалисты российского разработчика DLP-систем, позволит российским кредитным организациям минимизировать риски утечки информации и успех хакеров при реализации направленных атак.

Обозреватель Анастасия Николаева

Присоединяйтесь к Interfax-Russia в "Twitter‘е", "Вконтакте" и на "Facebook