О возможности дальнейшего вмешательства хакеров в операции на валютном рынке, а также атаке на Энергобанк в феврале 2015 года рассказал в интервью Financial One глава департамента киберразведки Group-IB Дмитрий Волков.
Расскажите, почему занялись расследованием дела Энергобанка? Кто попросил Вас дать экспертное заключение?
Дело в том, что резкое колебание в паре рубль/доллар, которое произошло в конце февраля 2015 года, участники рынка объяснили ошибкой трейдера банка. Проведенное внутреннее расследование в кредитной организации показало, что их сотрудник не имеет отношения к этим операциям. После этого к нам за экспертной оценкой обратились представители Энергобанка, а затем и правоохранительные органы.
В рамках расследования мы установили, что на компьютерах банка была троянская программа Corkow, также известная как Metel, которая имеет возможность предоставления удаленного доступа к устройствам с системами интернет-банкинга, а также располагает специальными модулями для работы с информационно-торговыми системами Quik и Transaq. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления при помощи комплекса Bot Trek.
Мы выяснили, что компьютеры Энергобанка были под удаленным управлением, когда совершались подозрительные транзакции на валютном рынке. Это было хорошо видно по восстановленной хронологии событий. По итогам расследования мы передали отчет в банк.
Правильно понимаю, что за экспертную оценку заплатил сам Энергобанк?
Не могу сказать, так как за оплату не отвечаю, но в рамках этого дела к нам поступил запрос и от правоохранительных органов, для которых мы провели бесплатную экспертизу.
Как строилось Ваше взаимодействие при анализе ситуации с брокерскими компаниями, Московской биржей и ЦБ?
Мы являемся техническими специалистами, поэтому вопрос движения денежных средств исследовали сотрудники биржи, регулятор, а также сам Энергобанк. Мы тоже участвовали в некоторых обсуждениях, но это не являлось нашей основной задачей. В этой ситуации брокером был сам Энергобанк с одной стороны, а также клиенты других брокеров в качестве выгодоприобретателей с другой стороны. Дело не было стандартным, нельзя было говорить о хищении средств клиентами брокеров, так как они действовали абсолютно легально.
В материалах исследования говорится, что Энергобанк был только одним из эпизодов в серии действий злоумышленников. Расскажите о других случаях.
Атака именно брокера была первой и на сегодняшний день последней. У злоумышленников, вероятно, не было твердой уверенности в успехе операции. Мы предполагаем, что на скачке курсов валют злоумышленники смогли заработать существенно меньше других участников торгов из-за незначительной суммы собственных средств для совершения операций.
Другие случаи работы хакерской программы не связаны с валютным рынком и торговыми терминалами. Злоумышленники так же, как и в случае с Энергобанком, получали доступ к различным системам кредитных организаций, но интересовались уже операциями с физлицами и юрлицами, а также межбанковскими расчетами с целью хищения средств. В ряде случаев преступникам удалось ограбить банки таким образом. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления.
Можно узнать подробнее о том, как действуют хакеры?
Злоумышленники поставили себе цель – заразить максимальное количество компьютеров, и к концу 2014 года им удалось создать большую базу, состоящую из нескольких сот тысяч зараженных единиц компьютерной техники, некоторые из которых были установлены в финансовых организациях. Дальше хакеры начали работать с этими данными и отслеживать полезную для хищения информацию с использованием технологий удаленного доступа к системам брокерского обслуживания. Подключались, к примеру, к компьютеру рядового сотрудника банка и через него получали доступ ко всем другим компьютерам внутренней сети кредитной организации.
Были ли среди пострадавших крупные банки – топ-100, топ-200 по размеру активов?
Некоторые из топ-50 банков точно были.
Можете их назвать?
К сожалению, нет, так как у нас действуют с банками-клиентами соглашения о неразглашении.
Стоит ли ждать дальнейших атак со стороны хакеров на валютный рынок?
Угроза для финансовых рынков, безусловно, сохраняется. Люди, которые провели атаку на Энергобанк, остались. У них теперь есть знания, как работать на финансовом рынке, насколько сильно можно на него повлиять, и что для этого необходимо. Преступники могут осуществить новую атаку, опираясь на предыдущий опыт. Для этого им достаточно настроить удаленный доступ к системам брокерского обслуживания в любом из банков из числа зараженных вирусным программным обеспечением.
Правильно ли говорить, что и для брокеров, которые не являются банками, риск атаки со стороны хакеров тоже есть?
Пока точной информации на этот счет у нас нет, так как отдельно брокерский сектор не отслеживаем. Количество зараженных компьютеров растет, но принадлежат ли они брокерам, мы не знаем.
А есть ли эффективная защита от хакерского программного обеспечения в случаях заражения?
Универсального способа защиты нет, но есть практика информационной безопасности, которая подразумевает целый комплекс мер. Стандартные лицензионные средства антивирусной защиты сами по себе не спасают при такой атаке хакеров.
Стало ли у Вас больше клиентов после случая с Энергобанком?
К нам постоянно приходят клиенты из финансовых организаций, но не могу сказать, что это связано с Энергобанком.
Зараженные компьютеры находятся только в России, либо и других странах?
Программа существует достаточно давно, и основной фокус ее был сосредоточен на выявлении доступа к банкам на территории России и постсоветском пространстве. Основными целями являются Россия и Украина. Преступникам также, по нашим данным, удалось заразить и ряд компьютеров в США. В настоящее время мы надеемся получить информацию о распространении вирусного программного обеспечения и в других странах в качестве обратной связи по отчету о деле Энергобанка.
Можете описать преступников? Что о них известно?
Это точно русскоговорящие люди. Поиском остальной информации сейчас занимаются правоохранительные органы.
Вам известны выводы ЦБ по делу Энергобанка?
Да, известны, они тоже признают наличие вирусного программного обеспечения, но не подтверждают факт удаленного совершения операций. Наше мнение на этот счет совершенно иное.
Есть ли риск того, что следующие атаки хакеров могут быть долгосрочными по действию и менее заметными?
Иметь доступ к торговой системе банка преступники могут в течение длительного времени, но как только они начинают совершать операции от лица операторов кредитной организации, сразу становится очевидным вмешательство хакеров. Возможно, преступники разработают новую схему, чтобы совершать операции и оставаться незамеченными, но пока ее нет.
Беседовал Иван Шлыгин