Как хакеры украли миллионы через malware БЛОГ

16 Февраля 2015
Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения
В New York Times вышла интересная статья  про очередной случай взлома в банковской системе, публикуем перевод этой статьи.

В конце 2013 года один банкомат в Киеве начал выдавать деньги в случайные моменты времени. Никто не вставлял в него свою карту или нажимал какие-то кнопки. Камеры зафиксировали, как пачки денег забирали прохожие, которые, как казалось, очень удачно оказались перед банкоматом в этот момент.

Но когда банк позвал Лабораторию Касперского для расследования этого случая, выяснилось, что этот «проблемный» банкомат был наименьшей из проблем банка.

Компьютеры банка, которые используются в ежедневной работе были заражены вредоносным ПО, которое позволяло киберпреступникам записывать все действия, совершаемые с них. Это ПО, находившееся в компьютерах банка долгие месяцы, среди прочего отправляло хакерам видео и скриншоты, с помощью которых преступная группа из россиян, китайцев и европейцев, изучало, как работает банк и как там выполняются рутинные операции.

Затем, хакеры, действуя от лица сотрудников банка и в соответствии с тем, как обычно это делалось в банке, не только включали отдельные банкоматы, но также переводили миллионы долларов со счетов в России, Японии, Швейцарии, Соединенных Штатах и Нидерландах, на подставные счета в других странах.

В отчете, который опубликован 16.02.15, и, который был заранее предоставлен New York Times, Лаборатория Касперского заявляет, что эта атака на более, чем 100 банков и финансовых организаций в 30 странах мира позволяет назвать ее одной из крупнейших краж в истории.

Поскольку у Лаборатории Касперского есть соглашения о неразглашении с банками, которые пострадали, они не могут быть названы. Правоохранительные органы, в том числе и ФБР, и представители Белого Дома получили эту информацию, но им потребуется время, чтобы подтвердить ее и оценить масштаб ущерба.

Лаборатория Касперского заявляет, что у нее есть доказательства краж на сумму не менее 300 миллионов долларов у клиентов этих банков, но в компании заявляют, что эта сумма может еще утроиться в ходе расследования. Кражи совершались суммами до 10 миллионов долларов, хотя в некоторых банках совершалось несколько таких транзакций, в большинстве случаев, транзакции были гораздо более мелкими, очевидно, чтобы не вызвать блокировок или предупреждений по линии безопасности.

Большинство жертв аферы находится в России, но есть пострадавшие в США, Европе и Японии.

Ни один из банков пока официально не признал кражи, что является большой проблемой, о которой говорил Обама, выступая в пятницу проводимом Белым Домом в Стэнфордском Университете собрании по вопросам кибербезопасности и защиты потребителей. Он предложил провести закон, который бы обязывал публичное раскрытие информации о взломе, который повлек за собой потерю персональных данных и финансовой информации.

Управляющий директор бостонского офиса Лаборатории Касперского по Северной Америке Крис Доггетт заявил, что «Кибербанда Карбанак», названная так по тому malware, которое они использовали, представляет собой пример возросшей сложности кибератак на финансовые учреждения.

«Скорее всего, это самая сложная из известных в мире атак, в терминах тактики и методов, которые киберпреступники использовали, чтобы скрыть свою деятельность», - говорит Доггетт.

 Как и последней атаке на Sony Pictures, нападавшие проявили невероятную осторожность, размещая свое ПО для наблюдения на компьютеры администраторов банка и следя за их действиями месяцами.

Остается вопрос, как афера такого масштаба могла быть длиться на протяжении двух лет и оставаться незамеченной банками, регуляторами и правоохранительными органами. Ответ может быть в той методике, которую использовали хакеры.

Атака началась, во многом также, как любая другая. Киберпреступники отправляли своим жертвам зараженные емэйлы – ссылка на статью или сообщение, которое казалось пришедшим от коллеги – как наживку. Когда сотрудник банка открывал сообщение, к нему на компьютер устанавливалось вредоносное ПО. Это позволяло хакерам изучать сеть банка, пока они не находили тех сотрудников, которые отвечали за переводы денежных средств или удаленные банкоматы.

Затем, говорят исследователи из Лаборатории Касперского, преступники устанавливали средство удаленного доступа, которое снимало видео и скриншоты с компьютеров работников банка.

«Их цель была – подражать их обычной деятельности», - говорит Сергей Голованов, кто занимался расследованием от Лаборатории Касперского. «Таким образом, чтобы все выглядело абсолютно нормальной, одной из ежедневных транзакций».

Преступники очень долго изучали внутренние системы, используемые банками, и в то же время создавали подставные счета в США и Китае, которые впоследствии использовались для вывода средств.

Когда приходило время вывести деньги, как правило спустя 2-4 месяца, преступники использовали различные способы. В некоторых случаях они использовали систему банка, чтобы перевести деньги на свои счета. Иногда они отправляли команду на банкоматы выдать деньги, где уже ждали их сообщники.

Самые крупные суммы крались через манипуляции с балансом счета. Используя свой доступ, преступники поднимали баланс некоторых счетов, например, на счету было 1000 долларов, но его баланс поднимали до 10 000 долларов и тут же выводили 9000. Таким образом, владелец счета не замечал никаких проблем.

«Мы выяснили, что многие банки проверяют свои счета только раз в 10 часов или около того», - пояснил Сергей Голованов. «Таким образом, в перерыве между этими проверками можно было изменить цифры и вывести деньги».

Успешность этого взлома впечатляет. Одно из учреждений потеряло 7,3 миллиона долларов только через выдачу денег банкоматами. Другая организация потеряла 10 миллионов долларов через манипуляции с ее счетами. Во некоторых случаях, переводы проводились через Swift, систему, используемую для трансграничных переводов между банками.

Крис Доггетт говорит, что большинство атак подобного рода действуют в стиле «Бонни и Клайда», то есть они «вламываются», и крадут то, что можно унести. В этом случае, по его словам, это более продвинутая операция в стиле «Одиннадцати друзей Оушена».
Получить консультацию специалиста