Интервью / Financial One

«Хакеры могут атаковать валютный рынок снова с учетом опыта Энергобанка»

«Хакеры могут атаковать валютный рынок снова с учетом опыта Энергобанка»
12023

О возможности дальнейшего вмешательства хакеров в операции на валютном рынке, а также атаке на Энергобанк в феврале 2015 года рассказал в интервью Financial One глава департамента киберразведки Group-IB Дмитрий Волков.

Расскажите, почему занялись расследованием дела Энергобанка? Кто попросил Вас дать экспертное заключение?

Дело в том, что резкое колебание в паре рубль/доллар, которое произошло в конце февраля 2015 года, участники рынка объяснили ошибкой трейдера банка. Проведенное внутреннее расследование в кредитной организации показало, что их сотрудник не имеет отношения к этим операциям. После этого к нам за экспертной оценкой обратились представители Энергобанка, а затем и правоохранительные органы.

В рамках расследования мы установили, что на компьютерах банка была троянская программа Corkow, также известная как Metel, которая имеет возможность предоставления удаленного доступа к устройствам с системами интернет-банкинга, а также располагает специальными модулями для работы с информационно-торговыми системами Quik и Transaq. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления при помощи комплекса Bot Trek.

Мы выяснили, что компьютеры Энергобанка были под удаленным управлением, когда совершались подозрительные транзакции на валютном рынке. Это было хорошо видно по восстановленной хронологии событий. По итогам расследования мы передали отчет в банк.

Правильно понимаю, что за экспертную оценку заплатил сам Энергобанк?

Не могу сказать, так как за оплату не отвечаю, но в рамках этого дела к нам поступил запрос и от правоохранительных органов, для которых мы провели бесплатную экспертизу.

Как строилось Ваше взаимодействие при анализе ситуации с брокерскими компаниями, Московской биржей и ЦБ?

Мы являемся техническими специалистами, поэтому вопрос движения денежных средств исследовали сотрудники биржи, регулятор, а также сам Энергобанк. Мы тоже участвовали в некоторых обсуждениях, но это не являлось нашей основной задачей. В этой ситуации брокером был сам Энергобанк с одной стороны, а также клиенты других брокеров в качестве выгодоприобретателей с другой стороны. Дело не было стандартным, нельзя было говорить о хищении средств клиентами брокеров, так как они действовали абсолютно легально.

В материалах исследования говорится, что Энергобанк был только одним из эпизодов в серии действий злоумышленников. Расскажите о других случаях.

Атака именно брокера была первой и на сегодняшний день последней. У злоумышленников, вероятно, не было твердой уверенности в успехе операции. Мы предполагаем, что на скачке курсов валют злоумышленники смогли заработать существенно меньше других участников торгов из-за незначительной суммы собственных средств для совершения операций.

Другие случаи работы хакерской программы не связаны с валютным рынком и торговыми терминалами. Злоумышленники так же, как и в случае с Энергобанком, получали доступ к различным системам кредитных организаций, но интересовались уже операциями с физлицами и юрлицами, а также межбанковскими расчетами с целью хищения средств. В ряде случаев преступникам удалось ограбить банки таким образом. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления.

Можно узнать подробнее о том, как действуют хакеры?

Злоумышленники поставили себе цель – заразить максимальное количество компьютеров, и к концу 2014 года им удалось создать большую базу, состоящую из нескольких сот тысяч зараженных единиц компьютерной техники, некоторые из которых были установлены в финансовых организациях. Дальше хакеры начали работать с этими данными и отслеживать полезную для хищения информацию с использованием технологий удаленного доступа к системам брокерского обслуживания. Подключались, к примеру, к компьютеру рядового сотрудника банка и через него получали доступ ко всем другим компьютерам внутренней сети кредитной организации.

Были ли среди пострадавших крупные банки – топ-100, топ-200 по размеру активов?

Некоторые из топ-50 банков точно были.

Можете их назвать?

К сожалению, нет, так как у нас действуют с банками-клиентами соглашения о неразглашении.

Стоит ли ждать дальнейших атак со стороны хакеров на валютный рынок?

Угроза для финансовых рынков, безусловно, сохраняется. Люди, которые провели атаку на Энергобанк, остались. У них теперь есть знания, как работать на финансовом рынке, насколько сильно можно на него повлиять, и что для этого необходимо. Преступники могут осуществить новую атаку, опираясь на предыдущий опыт. Для этого им достаточно настроить удаленный доступ к системам брокерского обслуживания в любом из банков из числа зараженных вирусным программным обеспечением.

Правильно ли говорить, что и для брокеров, которые не являются банками, риск атаки со стороны хакеров тоже есть?

Пока точной информации на этот счет у нас нет, так как отдельно брокерский сектор не отслеживаем. Количество зараженных компьютеров растет, но принадлежат ли они брокерам, мы не знаем.

А есть ли эффективная защита от хакерского программного обеспечения в случаях заражения?

Универсального способа защиты нет, но есть практика информационной безопасности, которая подразумевает целый комплекс мер. Стандартные лицензионные средства антивирусной защиты сами по себе не спасают при такой атаке хакеров.

Стало ли у Вас больше клиентов после случая с Энергобанком?

К нам постоянно приходят клиенты из финансовых организаций, но не могу сказать, что это связано с Энергобанком.

Зараженные компьютеры находятся только в России, либо и других странах?

Программа существует достаточно давно, и основной фокус ее был сосредоточен на выявлении доступа к банкам на территории России и постсоветском пространстве. Основными целями являются Россия и Украина. Преступникам также, по нашим данным, удалось заразить и ряд компьютеров в США. В настоящее время мы надеемся получить информацию о распространении вирусного программного обеспечения и в других странах в качестве обратной связи по отчету о деле Энергобанка.

Можете описать преступников? Что о них известно?

Это точно русскоговорящие люди. Поиском остальной информации сейчас занимаются правоохранительные органы.

Вам известны выводы ЦБ по делу Энергобанка?

Да, известны, они тоже признают наличие вирусного программного обеспечения, но не подтверждают факт удаленного совершения операций. Наше мнение на этот счет совершенно иное.

Есть ли риск того, что следующие атаки хакеров могут быть долгосрочными по действию и менее заметными?

Иметь доступ к торговой системе банка преступники могут в течение длительного времени, но как только они начинают совершать операции от лица операторов кредитной организации, сразу становится очевидным вмешательство хакеров. Возможно, преступники разработают новую схему, чтобы совершать операции и оставаться незамеченными, но пока ее нет.  

Беседовал Иван Шлыгин





Вернуться в список новостей

Комментарии (0)
Оставить комментарий
Отправить
Новые статьи
  • Российская ассоциация по облачным технологиям сможет конкурировать с зарубежными аналогами
    Владимир Чернов, аналитик Freedom Finance Global 20.10.2025 11:35
    62

    Облачные сервисы переходят к объединению усилий. VK Cloud, Yandex Cloud и разработчик инфраструктуры “Флант” договорились о создании Ассоциации облачно-ориентированных технологий (АОТ).more

  • Ежедневный обзор рынка акций. В фокусе - заседание ЦБ на этой неделе
    аналитики БКС 20.10.2025 11:28
    79

    На ближайшем горизонте складывается привлекательная картина для Индекса МосБиржи, так как в целом настроения на российском рынке акций улучшились на фоне снижении рисков в геополитике. Вероятно, получится дорасти до 2800 пунктов при условии, что бенчмарк закрепится выше отметки 2750 пунктов.more

  • Первичное жилье в России подорожает на 5–7% в 2026 году
    Владимир Чернов, ведущий аналитик Freedom Finance Global 20.10.2025 11:27
    67

    По оценке Сбера, после двух лет сокращения параметров ДДУ вторая половина 2026 года даст разворот, сделки могут прибавить около 9%, а цены вырасти на 5–7%, что согласуется с ожиданием снижения ключевой ставки ЦБ в диапазон 12–14% и с последующим уменьшением платежа по ипотеке. Конверсия спроса должна улучшиться в массовом сегменте и в городах-миллионниках, где чувствительность к ставке выше.more

  • Геополитические надежды могут вернуть индекс Мосбиржи выше 3000 пунктов
    Елена Кожухова, аналитик ИК «ВЕЛЕС Капитал» 20.10.2025 10:57
    119

    Российский рынок готов завершить неделю скачком примерно 5% и 7,8% по индексам Мосбиржи и РТС соответственно, значительная часть которого пришлась на пятницу. Долларовый РТС также поддерживали максимумы рубля с июля. more

  • Oracle ожидает, что к 2030 году объем продаж облачных решений составит $166 млрд
    Егор Толмачев, старший аналитик Freedom Finance Global 20.10.2025 10:45
    86

    Oracle (ORCL) ожидает, что выручка от облачной инфраструктуры достигнет $166 млрд в 2030 финансовом году, пишет Reuters. Такой прогноз озвучил один из генеральных директоров компании Клэй Магоуирк на встрече с аналитиками, после чего акции Oracle выросли на 5%.more