В начале октября 2016 года компания Positive Technologies, занимающаяся кибербезопасностью, получила сообщение от одного из банков Восточной Европы о произошедшем инциденте, результатом которого стала кража денег из банкоматов.
За одну ночь из шести банкоматов были похищены денежные средства в размере, эквивалентном 2,2 млн российских рублей в местной валюте.
Правоохранительные органы стремительно среагировали на произошедшее. Но специалисты обращают внимание, что в случае более продолжительной атаки нарушители могли бы похитить более 10 млн в рублевом эквиваленте.
«Размер хищений ограничивался бы лишь возможностями выдачи купюр в банкомате и количеством скомпрометированных устройств», — указано в отчете Positive Technologies.
Чтобы получить наличные из банкоматов, использовались подставные лица, так называемые дропы. Один из них был задержан с поличным правоохранительными органами при выемке банкнот.
В компании объясняют, что «дропы» привлекаются с целью минимизировать риски раскрытия основного состава организаторов атак. Они не знакомы с ядром преступной группировки и действуют исключительно под командой кураторов, отвечающих за сбор наличных и доставку денег.
Удаленный доступ для всех
Специалисты компании выяснили, что на протяжении месяца на адреса банка рассылались письма с вредоносным ПО от лица сотрудников различных финансовых организаций.
Фишинговые сообщения приходили с темами «Сверка балансов за 04.08», «Протокол вчерашнего заседания», «Требования к сотрудникам. Информационная безопасность» и другими.
В ходе расследования Positive Technologies выяснила, что несколько сотрудников банка в разное время открыли вредоносный файл из подставных писем.
Отмечается, что антивирусам удалось зафиксировать заражение. Но, по данным Positive Technologies,
службы информационной безопасности банка не приняли оперативных мер. Более того, сотрудники нередко отключают средства защиты на своих компьютера и не проверяют антивирусные журналы.
Злоумышленники также попытались скрыть опасное ПО от инструментов для выявления вредоносных файлов. Для этого преступники использовали легитимный софт и встроенные в ОС функции, код запускали только в оперативной памяти, а затем удаляли все следы. Работа протекала преимущественно в ночное время.
Согласно отчету Positive Technologies, сложилась тенденция, при которой преступники все чаще для совершения взломов применяют общедоступные инструменты. В частности, специалисты выделяют ПО для проведения легитимных тестов на проникновение или встроенную функциональность операционных систем.
В конкретном случае для удаленного управления применялась утилита, которую любой желающий может скачать с официального сайта производителя.
Специалисты уверены, что
легальные современные утилиты для работы с сетевой инфраструктурой и серверами обеспечивают широкую функциональность.
Злоумышленникам даже нет необходимости придумывать хитроумные инструменты.
Атаке поспособствовали отсутствие сегментации сети и избыточные привилегии учетной записи большинства сотрудников. Так, атакованный пользователь являлся администратором на всех рабочих станциях в локальной сети. Все это позволило взломщикам выявить сотрудников, ответственных за работу банкоматов и использование платежных карт.
Подготовив площадку и все хорошо изучив, злоумышленники спустя несколько месяцев загрузили вредоносное ПО на банкоматы. Оператор отправлял команду на устройства, а «дропы» в условленный момент подходили к нему и просто забирали наличные.
Хакеры послали Касперского
Причастными к инциденту в Positive Technologies посчитали группировку Cobalt. Отчет о ней в ноябре публиковала и компания Group-IB.
Эксперты сходятся на том, что по меньшей мере один из участников хакерской группы является русскоязычным. На это указывают фишинговые письма, составленные на русском языке.
Также специалисты Positive Technologies отмечают, что ряд аналогичных атак, произошедших на территории России и Восточной Европы, невозможно было бы совершить без знания внутренних процессов банка, а это, в свою очередь, требует понимания русского языка.
Ко всему прочему, расследуя инцидент, эксперты обнаружили, что e-mail, который использовался для загрузки Ammyy Admin, содержал характерное для русского языка ругательство в адрес «Лаборатории Касперского».
В Positive Technologies считают, что подобные взломы происходят не столько из-за умений самих хакеров, сколько из-за несерьезного отношения к кибербезопасности в банковских организациях.
«Главными ошибками в противодействии киберпреступникам можно назвать недооценку их возможностей и распространенное мнение, что
все эти атаки происходят где-то далеко и к нам никакого отношения не имеют. Подобная позиция может обернуться существенными финансовыми потерями»,
— говорится в отчете.
Также Positive Technologies указывает, что, хотя Cobalt и старались скрыть свои действия, антивирусу все-таки удалось выявить вредоносный софт. «Хищение денег можно было и вовсе предотвратить, если бы мониторинг существующих средств защиты был организован в банке на должном уровне», — заключили специалисты.
Эксперты предупреждают, в 2017 году стоит ожидать как увеличения числа самих атак, так и роста объемов финансовых потерь банков от их реализации. По мнению Positive Techonlogies, «преступники вошли во вкус», а банки просто не готовы им противостоять.