Газета.ru выяснила, как именно хакеры похитили миллиард
Криминальная группировка, которую в «Лаборатории Касперского» назвали Carbanak, применяла приемы, характерные для адресных атак, но в отличие от многих вторых инцидентов преступники получили доступ не к квитанциям клиентов, а напрямую к IT-совокупностям банков.
Белый дом на страже интернета
В Стэнфордском университете в Пало-Альто состоялась конференция Белого дома по кибербезопасности и защите потребителей, в которой участвовали…
Первые инциденты, которые связаны с деятельностью Carbanak, датируются началом 2013 года. За два года деятельность киберпреступников затронула около 100 денежных организаций в мире.
Специалисты «Лаборатории Касперского» считают, что за Carbanak стоит интернациональная группировка хакеров из России, Украины, последовательности вторых государств-членов Евросоюза, и Китая.
«В первый раз мы определили о Carbanak в конце 2013 года, в то время, когда украинский банк обратился к нам прося о помощи в проведении криминалистического расследования. Кто-то загадочным образом воровал деньги из банкоматов.
Тогда мы расценили данный инцидент как рядовую вредоносную атаку. Но пара месяцев спустя с похожей проблемой к нам обратился один из русских банков — одна из совокупностей банка выдавала предупреждение об отправке данных с контроллера домена в КНР.
Мы нашли в совокупности вредоносное ПО и написали пакетный скрипт для удаления вредоносной программы с зараженных компьютеров. Конечно, мы сохранили вредоносные образцы — благодаря им мы и познакомились с Carbanak», — сказал «Газете.Ru» противовирусный специалист «Лаборатории Касперского» Сергей Ложкин.
самые крупные суммы денег похищались в ходе вторжения в банковские сети. За любой таковой рейд хакеры крали до $10 млн.
В среднем на ограбление одного банка — от заражения первого компьютера в корпоративной сети до сворачивания активностей и кражи денег — уходило от двух до четырех месяцев.
Проникновение в банк начиналось с компьютеров кого-то из сотрудников организации при помощи фишинговых приемов. По окончании заражения автомобили вредоносным ПО преступники приобретали доступ к внутренней сети банка, обнаружили компьютеры администраторов совокупностей финансовых транзакций и начинали видеонаблюдение за их экранами.
Так Carbanak выясняли о всех нюансах в работе персонала банка и имели возможность имитировать привычные действия сотрудников при переводе денег на собственные счета.
Как как раз банда Carbanak похищала деньги
1. Хакеры применяли онлайн-банкинг и платежные совокупности для перевода денег со счета банка на собственный личный. Мошеннические квитанции были…
«Эти ограбления банков отличаются от остальных тем, что хакеры использовали такие способы, каковые разрешали им не зависеть от применяемого в банке ПО, даже если оно было неповторимым. Хакерам кроме того не было нужно взламывать банковские сервисы.
Они просто проникали в корпоративную сеть и обучались, как возможно замаскировать мошеннические действия под легитимные. Это вправду весьма опытное ограбление», — пояснил ведущий противовирусный специалист «Лаборатории Касперского» Сергей Голованов.
Начальник расследований предотвращения инцидентов и департамента угроз компании Group-IB Дмитрий Волков поведал «Газете.Ru», что в докладе «Лаборатории Касперского» обращение вероятнее идет о той же криминальной группе хакеров, о которой Group-IB совместно с компанией Fox-IT информировали в декабрьском докладе.
«Мы назвали эту группу Anunak, и отечественное расследование касалось кражи денежных средств из русских и некоторых украинских финучреждений. Подтвержденная сумма хищений образовывает 1 млрд рублей.
Нам удалось раскрыть механизм деятельности данной группировки, и мы передали результаты отечественного расследования в российские правоохранительные органы. С Европолом и Интерполом мы не связывались, потому, что правонарушения совершались в Российской Федерации и на Украине, а пострадавшие были по большей части организациями и российскими гражданами, — сказал Волков и добавил: — До тех пор пока никого из организаторов Anunak задержать не удалось.
Это связано со сложностью построения доказательной базы при аналогичных правонарушениях, и с тем, что, по отечественным сведениям, члены Anunak живут в государствах, с которыми у России нет договора о выдаче преступников».
Главные киберугрозы 2015 года
Связанные с информационной безопасностью скандалы, гремевшие целый 2014 год, не утихнут и в текущем году, прогнозируют аналитики. Усиление активности…
В «Лаборатории Касперского» кроме этого подтвердили «Газете.Ru», что группировка так же, как и прежде деятельно действует, и призвали все денежные организации шепетильно проверить собственные компьютерные сети.
Согласно точки зрения Ложкина, столь продолжительная и успешная деятельность хакеров, как это ни парадоксально звучит, связана с тем, что в банках стоят весьма важные и продвинутые совокупности безопасности, с неповторимой IT-инфраструктурой и особым ПО, созданным лично для каждого банка.
«Представители работы безопасности банков были уверены, что лишь «инсайдер» может совершить кражу денег, применяя внутреннюю сеть банка. Никто не ожидал аналогичной атаки извне.
Хакеры использовали такие способы, каковые разрешали им не зависеть от применяемого в банке ПО, даже если оно было неповторимым, поскольку хакерам кроме того не было нужно взламывать банковские сервисы», — говорит специалист.