Дорогостоящие системы защиты не помогли предотвратить самое крупное банковское ограбление.
Лаборатория Касперского опубликовала данные о самом крупном киберпреступлении в истории. Хакеры из группировки Карбанак, известные так же как Anunak, и предположительно имеющие российские корни, сумели ограбить более 100 банков в 30 странах мира.
По информации Лаборатории Касперского, злоумышленникам удалось украсть от 300 миллионов до 1 миллиарда долларов. Причем мишенью грабителей были именно банки, а не их клиенты.
Первые следы атаки были обнаружены компанией Group-IB еще в начале 2013 года.
А в августе 2013 года один из банкоматов в Киеве внезапно начал выдавать все свои деньги случайным, на первый взгляд, прохожим. Прибывшие для расследования представители Лаборатории Касперского выяснили, что проблема заключается вовсе не в банкомате. Как оказалось, все системы банка были заражены. И злоумышленники могли совершенно свободно управлять не только банкоматами, но также переводить на свои счета любые денежные суммы.
Один из клиентов Лаборатории Касперского, имя которого не называется, потерял только на таких операциях с банкоматами более 7 миллионов долларов.
Злоумышленники попадали во внутренние сети банков в обход традиционных систем защиты. Основным оружием хакеров был так называемый социальный инжиниринг, а также электронные письма, содержащие вредоносные приложения.
"Злоумышленники отправляли фишинговые письма сотрудникам банка. Для того, чтобы сотрудник банка открывал вредоносные вложения, которые прикреплялись к письму, они отправляли эти письма от имени Центрального банка Российской Федерации, либо предварительно звонили сотруднику банка и говорили, что они являются юридическим лицом, которое хочет открыть вклад на крупную сумму денег и для этого обговаривали предварительные условия. После телефонного звонка они отправляли реквизиты вымышленной компании менеджеру банка. Менеджер открывал приложение и получал вредоносную программу на свой компьютер", — раскрыл технологию распространения вредоносного программного обеспечения руководитель отдела расследования Group-IB Дмитрий Волков.
В других случаях злоумышленники взламывали сети партнеров банков. А затем, уже от их имени, они контактировали с сотрудниками банка-жертвы и убеждали тех открыть вложения под предлогом обновления договора.
В итоге вирус распространялся по внутренней сети банка, пока не достигал сервера, где грабители перехватывали логины и пароли компьютера с административными полномочиями.
Киберпреступники тратили на этого месяцы: они досконально изучали сеть, искали компьютеры наиболее привилегированных сотрудников, а затем устанавливали за ними наблюдение.
"Снимали видео, делали фотоотчеты и отправляли их к себе на сервер. Видео и фотоотчеты были нужны для того, чтобы понять, в какое время работает оператор, как именно он работает с системами. Это чтобы не вызывать подозрений. После того, как они подробно изучали его действия, они просто повторяли те же действия через удаленный доступ. И денежные средства переводились не законным получателям, а туда, куда они захотели", — рассказывает о действиях кибермошенников руководитель отдела расследования Group-IB Дмитрий Волков.
Кроме того, киберпреступники пользовались чужими счетами как перевалочной базой. Как выяснили в Лаборатории Касперского, некоторые банки проверяют счета своих клиентов лишь раз в 10 часов. Этого окна хакерам хватало, чтобы незаметно увеличить сумму накоплений на счете, например, от одной тысячи долларов до двух. А затем переводили эту добавленную тысячу на свои счета. Таким образом, клиент не терял своих денег и не обращался в банк с жалобами. Именно этим способом злоумышленники получили большую часть от украденной суммы.
"Обычных физических или юридических лиц эта группа не трогает. Их фокус сейчас несколько иной — это банки и платежные системы, где денег много и при определенных затратах выгода от действий максимальна", — подчеркивает Дмитрий Волков.
По словам представителей Group-IB, правоохранительные органы уже имеют достаточно информации о преступниках. В частности, известно, где они и у кого арендуют серверы, под какими никнеймами существуют в Сети.
