Интервью / Financial One

«Хакеры могут атаковать валютный рынок снова с учетом опыта Энергобанка»

«Хакеры могут атаковать валютный рынок снова с учетом опыта Энергобанка»
11923

О возможности дальнейшего вмешательства хакеров в операции на валютном рынке, а также атаке на Энергобанк в феврале 2015 года рассказал в интервью Financial One глава департамента киберразведки Group-IB Дмитрий Волков.

Расскажите, почему занялись расследованием дела Энергобанка? Кто попросил Вас дать экспертное заключение?

Дело в том, что резкое колебание в паре рубль/доллар, которое произошло в конце февраля 2015 года, участники рынка объяснили ошибкой трейдера банка. Проведенное внутреннее расследование в кредитной организации показало, что их сотрудник не имеет отношения к этим операциям. После этого к нам за экспертной оценкой обратились представители Энергобанка, а затем и правоохранительные органы.

В рамках расследования мы установили, что на компьютерах банка была троянская программа Corkow, также известная как Metel, которая имеет возможность предоставления удаленного доступа к устройствам с системами интернет-банкинга, а также располагает специальными модулями для работы с информационно-торговыми системами Quik и Transaq. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления при помощи комплекса Bot Trek.

Мы выяснили, что компьютеры Энергобанка были под удаленным управлением, когда совершались подозрительные транзакции на валютном рынке. Это было хорошо видно по восстановленной хронологии событий. По итогам расследования мы передали отчет в банк.

Правильно понимаю, что за экспертную оценку заплатил сам Энергобанк?

Не могу сказать, так как за оплату не отвечаю, но в рамках этого дела к нам поступил запрос и от правоохранительных органов, для которых мы провели бесплатную экспертизу.

Как строилось Ваше взаимодействие при анализе ситуации с брокерскими компаниями, Московской биржей и ЦБ?

Мы являемся техническими специалистами, поэтому вопрос движения денежных средств исследовали сотрудники биржи, регулятор, а также сам Энергобанк. Мы тоже участвовали в некоторых обсуждениях, но это не являлось нашей основной задачей. В этой ситуации брокером был сам Энергобанк с одной стороны, а также клиенты других брокеров в качестве выгодоприобретателей с другой стороны. Дело не было стандартным, нельзя было говорить о хищении средств клиентами брокеров, так как они действовали абсолютно легально.

В материалах исследования говорится, что Энергобанк был только одним из эпизодов в серии действий злоумышленников. Расскажите о других случаях.

Атака именно брокера была первой и на сегодняшний день последней. У злоумышленников, вероятно, не было твердой уверенности в успехе операции. Мы предполагаем, что на скачке курсов валют злоумышленники смогли заработать существенно меньше других участников торгов из-за незначительной суммы собственных средств для совершения операций.

Другие случаи работы хакерской программы не связаны с валютным рынком и торговыми терминалами. Злоумышленники так же, как и в случае с Энергобанком, получали доступ к различным системам кредитных организаций, но интересовались уже операциями с физлицами и юрлицами, а также межбанковскими расчетами с целью хищения средств. В ряде случаев преступникам удалось ограбить банки таким образом. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления.

Можно узнать подробнее о том, как действуют хакеры?

Злоумышленники поставили себе цель – заразить максимальное количество компьютеров, и к концу 2014 года им удалось создать большую базу, состоящую из нескольких сот тысяч зараженных единиц компьютерной техники, некоторые из которых были установлены в финансовых организациях. Дальше хакеры начали работать с этими данными и отслеживать полезную для хищения информацию с использованием технологий удаленного доступа к системам брокерского обслуживания. Подключались, к примеру, к компьютеру рядового сотрудника банка и через него получали доступ ко всем другим компьютерам внутренней сети кредитной организации.

Были ли среди пострадавших крупные банки – топ-100, топ-200 по размеру активов?

Некоторые из топ-50 банков точно были.

Можете их назвать?

К сожалению, нет, так как у нас действуют с банками-клиентами соглашения о неразглашении.

Стоит ли ждать дальнейших атак со стороны хакеров на валютный рынок?

Угроза для финансовых рынков, безусловно, сохраняется. Люди, которые провели атаку на Энергобанк, остались. У них теперь есть знания, как работать на финансовом рынке, насколько сильно можно на него повлиять, и что для этого необходимо. Преступники могут осуществить новую атаку, опираясь на предыдущий опыт. Для этого им достаточно настроить удаленный доступ к системам брокерского обслуживания в любом из банков из числа зараженных вирусным программным обеспечением.

Правильно ли говорить, что и для брокеров, которые не являются банками, риск атаки со стороны хакеров тоже есть?

Пока точной информации на этот счет у нас нет, так как отдельно брокерский сектор не отслеживаем. Количество зараженных компьютеров растет, но принадлежат ли они брокерам, мы не знаем.

А есть ли эффективная защита от хакерского программного обеспечения в случаях заражения?

Универсального способа защиты нет, но есть практика информационной безопасности, которая подразумевает целый комплекс мер. Стандартные лицензионные средства антивирусной защиты сами по себе не спасают при такой атаке хакеров.

Стало ли у Вас больше клиентов после случая с Энергобанком?

К нам постоянно приходят клиенты из финансовых организаций, но не могу сказать, что это связано с Энергобанком.

Зараженные компьютеры находятся только в России, либо и других странах?

Программа существует достаточно давно, и основной фокус ее был сосредоточен на выявлении доступа к банкам на территории России и постсоветском пространстве. Основными целями являются Россия и Украина. Преступникам также, по нашим данным, удалось заразить и ряд компьютеров в США. В настоящее время мы надеемся получить информацию о распространении вирусного программного обеспечения и в других странах в качестве обратной связи по отчету о деле Энергобанка.

Можете описать преступников? Что о них известно?

Это точно русскоговорящие люди. Поиском остальной информации сейчас занимаются правоохранительные органы.

Вам известны выводы ЦБ по делу Энергобанка?

Да, известны, они тоже признают наличие вирусного программного обеспечения, но не подтверждают факт удаленного совершения операций. Наше мнение на этот счет совершенно иное.

Есть ли риск того, что следующие атаки хакеров могут быть долгосрочными по действию и менее заметными?

Иметь доступ к торговой системе банка преступники могут в течение длительного времени, но как только они начинают совершать операции от лица операторов кредитной организации, сразу становится очевидным вмешательство хакеров. Возможно, преступники разработают новую схему, чтобы совершать операции и оставаться незамеченными, но пока ее нет.  

Беседовал Иван Шлыгин





Вернуться в список новостей

Комментарии (0)
Оставить комментарий
Отправить
Новые статьи
  • Рынки агрессивно поставили на снижение ставки ФРС. Еженедельный обзор валют
    Кирилл Кононов, БКС Мир инвестиций 16.09.2025 15:48
    435

    Курс доллара США на неделе снизился на 0,8%, до 97 п., по индексу DXY в результате дальнейшего увеличения ожиданий снижения ставки ФРС. Рыночные ожидания закладывают большее снижение ставки ФРС до конца года, чем ранее это прогнозировал регулятор и чем оправданно экономически. Инфляция в США начала ускоряться из-за постепенного перекладывания импортных пошлин в розничные цены товаров и услуг.more

  • Зарубежные рынки акций: решение суда по увольнению Л. Кук, индекс производственной активности штата Нью-Йорк, переговоры США и Китая и другое
    Сергей Вахрамеев, Георгий Горбунов, аналитики банка «Синара» 16.09.2025 15:41
    377

    Американские рынки открыли неделю в плюсе на фоне прогресса в торговых переговорах между США и Китаем. Dow Jones вырос на 0,1%, S&P 500 — на 0,5%, Nasdaq — на 0,9%. В лидеры вышли телекоммуникации (+1,4%), аутсайдером стал сектор потребительских товаров (-1,1%). Подробнее - в ежедневном обзоре банка «Синара». more

  • Эксперты про перспективы банковского сектора и инвестиции в ВТБ
    Автор: Елена Болотина 16.09.2025 15:34
    374

    В ходе дискуссии на канале «Bitkogan talks» Андрей Бархота, кандидат экономических наук, эксперт банковского рынка и Кирилл Кузнецов, основатель «Усиленных Инвестиций», обсудили денежно-кредитную политику Банка России, влияние ключевой ставки на банковскую маржу и прибыльность, а также возможности для инвестиций в условиях санкционного давления. Отдельное внимание они уделили позициям крупнейших игроков, в том числе ВТБ, и вопросам дивидендной политики.
    more

  • Лондонская фондовая биржа запустила блокчейн-платформу для частных фондов
    Автор: Яна Кудрявцева 16.09.2025 15:30
    383

    Лондонская фондовая биржа (LSEG) предприняла шаг, который многие называют переломным для всей индустрии финансовых рынков: запустила собственную блокчейн-платформу Digital Markets Infrastructure (DMI). Новая система создана специально для работы с закрытыми инвестиционными фондами и позволяет оцифровать весь жизненный цикл актива – от выпуска и привлечения капитала до расчетов и посттрейдового обслуживания.
    more

  • Цена нефти и газа. МЭА сигнализирует об истощении месторождений
    Людмила Рокотянская, эксперт по фондовому рынку «БКС Мир инвестиций» 16.09.2025 11:10
    451

    Нефть марки Brent чувствует себя неплохо. На финансовых рынках в целом сейчас царит оптимизм относительно предстоящего заседания ФРС — американские фондовые индексы растут, индекс доллара DXY, наоборот, снижается. Это создает позитивный фон и для рынка сырьевых товаров.
    more