8 февраля Консалтинговая компания Group-IB выложила в свободный доступ отчет о том, как троян Corkow смог завладеть трейдинговой системой Энергобанка и устроить аномальные скачки валютной пары доллар-рубль в феврале 2015 года. Эксперты выяснили, что вредоносная программа лишь «тестировала свои возможности» на биржевых сделках, в то время как всю свою силу она показала во время атаки на банковскую систему страны в прошлом августе.
В апреле прошлого года Павел Крылов, руководитель по развитию продуктов Group-IB (на тот момент), в своем докладе на конференции АРБ рассказал, что по результатам расследования, проведенного совместно с МВД, выяснилось, что Энергобанк подвергся кибератаке, в результате которой из-за действий трояна Corkow фининститут потерял более 200 млн рублей.
В понедельник, 8 февраля, спустя почти год с момента оглашения своего вердикта Group-IB выложила на официальном сайте компании подробный отчет о том, как якобы произошло заражение компьютеров Энергобанка.
Оказалось, троян Сorkow появился в системе банка осенью 2014 года и до момента атаки себя никак не проявлял. Сorkow, также известный как Metel, имеет специальные модули для работы с трейдинговыми системами Quik от ARQA Technologies и TRANSAQ от ЗАО «Скрин маркет системз». Сами мошеннические действия от имени вредоносной программы осуществлялись через терминал системы ИТС-Брокер от ООО «Платформа софт» через удаленный доступ в течение 14 минут. Совершив операции от имени банка, спустя некоторое время Сorkow самоликвидировался, чтобы замести следы, полагают в Group-IB.
Хронология кибератаки на Энергобанк (версия Group-IB)
«Это была тестовая атака, не принесшая хакерам значительной прибыли. Однако, с учетом того, что интерес у киберпреступников к атакам на трейдинговые системы постоянно растет, потенциальная угроза огромна», – считает Дмитрий Волков, руководитель сервиса киберразведки Bot-Trek Intelligence.
Стоит отметить, что ЦБ в конце 2015 года версию хакерской атаки не подтвердил. Проверка регулятора показала, что заявки на продажу долларов выставлял сам банк, а не злоумышленники: «Такие «нестандартные» заявки 27.02.2015 выставлялись кредитной организацией с торгового терминала, подключение которого к торговой системе биржи было осуществлено от ее имени без ошибок авторизации и нарушения прав доступа».
Регулятор установил повышенный контроль над действиями Энергобанка на организованных торгах.
Предправления кредитной организации Дмитрий Вагизов ранее предупреждал, что от действия вредоносной программы могут пострадать и другие участники валютного рынка, которых может ждать участь Энергобанка.
Фининститут пытался в судебном порядке вернуть утраченные средства через арест брокерских счетов «Финама», БКС и «Открытия», но вмешательство ЦБ позволило снять обеспечительные меры по этому делу.
Впрочем, сделки от имени Энергобанка были лишь проверкой возможностей вредоносной системы, которая заработала в полную силу спустя полгода. Как отмечается все в том же исследовании Group-IB, в августе 2015 года произошел другой важный инцидент с использованием расчетной системы, объединяющей около 250 банков и позволяющей снимать средства с карт Visa и MasterCard по выгодным тарифам. Тогда через банкоматы одного из участников этой расчетной системы было выдано несколько сотен миллионов рублей, которые, как выяснилось позже, были результатом хакерской атаки с использованием все того же трояна Corkow (Metel).