22/08/2019

В рамках состоявшейся в апреле конференции по практическим аспектам борьбы с кибермошенничеством в финансовом секторе эксперты RTM Group на конкретном примере продемонстрировали, как история о несоблюдении стандартов и правил ИБ легко превращается в историю об атаке на банк, совершенной с помощью «кротов».

 

ВНАЧАЛЕ БЫЛИ ТОЛЬКО ХАКЕРЫ

Этот кейс о банке, подвергшемся хакерской атаке, был выбран для презентации не случайно, поскольку в нем, как в зеркале современной цифровой реальности, отразилось очень многое: начиная с того, как злоумышленники используют социальную инженерию, и заканчивая тем, какую роль в жизни банка может сыграть «человеческий фактор», наличие «кротов», технологическое несовершенство, отсутствие контроля за действиями пользователей и многое другое.

Прежде чем разбирать кейс, стоит отметить, что прецедент произошел в 2015 году, то есть довольно давно, когда еще не было такого жесткого регулирования сферы ИБ банков, как сейчас. Тем не менее, многие из вскрывшихся при расследовании проблем актуальны для финансовых организаций до сих пор.

Итак, путем заражения популярного сайта, дружно посещаемого сотрудниками нашего банка, злоумышленники получили удаленный доступ к компьютерам этих сотрудников. Скопировали систему ДБО и даже ключи к ней. Дальше произошло само хищение: воры направили со своих устройств нелегитимные платежные поручения. Когда сотрудники банка эти поручения выполнили, атакующие с помощью еще одного вредоноса «вырубили» компьютеры сотрудников. То есть «положили систему», причем, на достаточно продолжительное время – на три рабочих и два выходных дня.

Казалось бы, в данном случае можно отследить два фактора: пренебрежение сотрудниками банка базовыми принципами ИБ и отсутствие должного контроля за их действиями в качестве пользователей банковской системы. О том, что такой контроль необходим, в последние годы говорилось неоднократно, но, как можно судить по кейсу, далеко не всегда дело на практике обстоит так как в теории.

Что касается действий злоумышленников на последнем этапе атаки, то они вполне «укладываются» в распространенный сценарий. Падение системы и вывод из строя всех компьютеров, естественно, вызвал у сотрудников состояние, близкое к шоку. Чтобы восстановить систему, потребовались время и силы. Этот временной «лаг» дал злоумышленникам возможность хотя бы частично «замести» следы и «удалиться».

 

ТЕХНОЛОГИЧЕСКАЯ БЕСПЕЧНОСТЬ

И вроде бы стандартная история, но дальше стали открываться интересные подробности. Как пояснил эксперт RTM Group Федор Музалевский, результатом сочетания умелых действий злоумышленников, с одной стороны, и человеческого фактора, с другой, стало то, что организация практически одномоментно потеряла 100 млн рублей. Было проведено пять компьютерно-технических экспертиз (при этом эксперт считает, что такое большое количество экспертиз вполне объяснимо и закономерно). Сотрудники правоохранительных структур быстро выяснили, с какого IP-адреса была совершена атака, владельца IP-адреса арестовали, а его цифровые устройства отправили на экспертизу, но ничего отражающего механизм хищения денежных средств на этих устройствах не обнаружили.

Параллельно этому уголовному делу шел арбитражный процесс. Из-за несоответствия материалов уголовного дела арбитражному процессу было возбуждено второе уголовное дело, подозреваемыми по которому были определены неизвестные сотрудники банка, против которых была совершена атака. Основная проблема, по мнению следствия, заключалась в том, что банк не только не обеспечил безопасность ДБО, но еще и позволил своими действиями произойти хищению.

На основании чего следствие пришло к такому выводу? Прежде всего, как пояснил Федор Музаевский, на основании банковских выписок и журнала работы системы ДБО. Надо отметить, что у банка было ДБО собственной разработки, довольно старое и не имевшее лицензии настраивания средства криптографической защиты информации (СКЗИ). СКЗИ банк приобрел у внешнего вендора, они, как подчеркнул эксперт, были достаточно качественными, но при этом неверно встроенными, что, естественно, сказалось на эффективности их работы.

В основу механизма хищения легла сама возможность копирования ДБО и ключей. У клиента стояла версия системы «банк-клиент», которая на момент хищения уже два года как устарела. При этом у банка были и новые версии ДБО, и в этих версиях была предусмотрена двухфакторная аутентификация, но по какой-то причине банк версию для клиента не обновил. И это тоже привлекло внимание следствия.

Отметим, что из вышеописанного можно извлечь, как минимум, следующее: пострадавший в результате хакерской атаки банк явно не уделял должного внимания технологической стороне своей информационной защиты. Еще одной проблемой стало совмещение ролей разработчика и администратора программного обеспечения, хотя штатное расписание банка позволяло «развести» эти полномочия. Однако этого не было сделано, и, к сожалению, как дал понять Федор Музалевский, подобная ситуация «вскрывается» при проведении внешнего аудита состояния ИБ в разных банках до сих пор, несмотря на то, что это прямо запрещено положением Банка России 382-П.

 

«ЛИПОВЫЙ» ТРАНШ И ПРОЧИЕ НЕПРИЯТНОСТИ

Дальше – больше. Как рассказал Евгений Царев, эксперт RTM Group, в марте 2016 года к нему обратился руководитель пострадавшего банка с просьбой оказать юридическую помощь в деле о краже средств путем кибермошенничества. К тому времени с момента расследования прошло уже больше девяти месяцев, дело то приостанавливалось, то возобновлялось. «В первую очередь я проанализировал работу следователей по уголовному делу и работу адвокатов по арбитражному делу. Исходя из «первички», получалось, что следствие ограничилось арестом лица, с IP-адреса которого была осуществлена атака, и поиском лиц, на счета которых были перечислены денежные средства, – это четыре юридические фирмы, созданные всего за месяц до кибератаки. Как правило лица, которым принадлежат такие фирмы – это люди, ведущие аморальный образ жизни, наркоманы и алкоголики, то есть заведомо понятно, что они не являются «драйвером» преступной группировки», - рассказал Евгений Царев.

После перечисления средств на счета подставных фирм деньги перевели на счета физлиц и обналичили. В этой ситуации эксперта смутила скорость, с которой были совершены все эти операции, поэтому было решено проверить в первую очередь всех сотрудников банка, в том числе и на полиграфе. Результаты проверки оказались отрицательными. Далее внимание экспертов привлекло то, что в ходе атаки была даже не сломана, а скорее уничтожена программа «банк-клиент», поскольку восстановить информацию на жестком диске оказалось невозможным. «Пришлось обратиться за помощью к «бумажной» составляющей документооборота. Проще говоря, я брал банковские платежные документы в бумажном виде и анализировал их. Анализ привел меня к странным результатам: подсчитав все средства, зафиксированные «на бумаге», я обнаружил, что на момент хищения денег на счету банка было на несколько десятков миллионов меньше, чем якобы похитили злоумышленники. Второй, настороживший меня, момент заключался в том, что само хищение было произведено в обеденный перерыв в пятницу, а банк-клиент был восстановлен на новом компьютере только в среду следующей недели. То есть прошло достаточно много времени, и это удивительно, если учесть, что у банка каждая минута на счету», - рассказал специалист.

Стремясь до конца уяснить себе суть произошедшего, эксперты запросили выписки в банке. И выяснилось, что накануне хищения была совершена операция по зачислению кредитного транша на расчетный счет одного из клиента. При этом практически тут же стало понятно, что «в товарищах», то есть между сотрудниками банка и клиентом, на счет которого был зачислен транш, «согласья нет». Сотрудники утверждали, что они действовали согласно одобренному банком клиентскому запросу о получении кредита. Клиент, со своей стороны, утверждал, что никакого запроса он не подавал. Банк предоставил суду заявку на получение кредита, банковский ордер и все документы, свидетельствующие о том, что за полчаса до хищения на счет клиента была доначислена сумма в 60 млн рублей.

На первый взгляд, могло показаться, что врет именно клиент, коль скоро на руках у банковских сотрудников есть все необходимые документы. Но в ходе дальнейшего расследования выяснилось следующее: сначала было совершено обрушение системы «банк-клиент» – примерно в 12 часов дня, а спустя две минуты после этого с другого IP-адреса «залетели» подложные платежные поручения. Из-за «обрушения» клиент, на счет которого были перечислены 60 млн рублей, не мог видеть, что происходит с его счетом. При этом в 11.50, то есть за десять минут до атаки, выписки о состоянии счета запрашивались как самим клиентом, так и злоумышленниками с IP-адреса, откуда впоследствии были посланы «липовые» платежные поручения. «Я думаю, сотрудники банка не могли не заметить этого обстоятельства», - резюмировал Евгений Царев. Естественно, что далее под подозрения попал уже не столько клиент, расчетный счет которого так удачно «обогатился» в результате атаки, сколько те, кто имел то или иное отношение к совершению операции по переводу кредитного транша.

Результатом арбитражного дела, как пояснили эксперты, стало то, что операционист банка, персональные данные которой использовались при переводе кредитного транша, призналась в здании суда, что кредитный транш проводила не она, а другой сотрудник банка.

 

ЧТО В ИТОГЕ?

Один из главных выводов, который можно сделать на основании этого кейса, заключается в том, что злоумышленники «замаскировали» атаку под стандартное сочетание таких факторов, как недолжное исполнение сотрудниками своих обязанностей плюс технологическое несовершенство средств защиты. На деле же имело место мошенничество, совершенное внешними злоумышленниками с помощью тех, кого принято называть «внутренними кротами». Можно так же предположить, что руководство и собственники банка не уделяли должного внимания решению проблем ИБ в своей организации.

Итак, какие выводы? Да все те же, уже не раз сделанные как на уровне регулятора, так и на уровне бизнес-сообщества. Этот кейс их только «подсвечивает» и подтверждает.

  • Необходима четкая система контроля за действиями пользователей системы.
  • Необходима работа по повышению уровня грамотности сотрудников в вопросах информационной безопасности.
  • Технологические средства обеспечения ИБ должны своевременно обновляться.
  • Необходим внешний аудит ИБ-систем, поскольку практика и в данном случае, и в других случаях показывает, что именно внешний аудит является максимально эффективным инструментом выявления «лакун» и пробелов в системе ИБ.

 

Прежде чем поставить точку, следует обратить внимание еще на один момент. Как говорилось в известном советском фильме, «легким движением руки брюки превращаются в элегантные шорты». В данном случае по результатам расследования банк легко превратился из пострадавшего в объект пристального и не слишком доброжелательного внимания, поскольку, во-первых, к совершению преступления был причастен круг его «неустановленных сотрудников», а во-вторых, у суда возникли вопросы по теме должного обеспечения банком своей информационной безопасности. Даже на основании краткого изложения всех обстоятельств хищения очевидно, что пострадавшая финансово-кредитная организация не предприняла всех возможных и необходимых действий для самозащиты от хакерских атак. И это, безусловно, также оказало влияние на дальнейшую судьбу банка.

 

TaskMasters: девятый год стал роковым

Positive Technologies и «Лаборатория Касперского» выявили группу киберпреступников, которая девять лет производила атаки на российские компании и госструктуры с целью кражи данных.

Известно, что группа скомпрометировала более 30 компаний из сфер промышленности, строительства, энергетики и недвижимости. 24 из них находятся в России.

В коде инструментов хакеров есть следы китайских разработчиков. Также во время ряда атак были замечены подключения с IP-адресов из Китая. Ключи для используемых программ встречаются на китайских форумах. Для взлома использовался планировщик задач операционной системы, поэтому группу киберпреступников назвали TaskMasters.

Проникая в локальную сеть, хакеры исследовали инфраструктуру, находили уязвимости, заводили вредоносные программы и использовали их для удалённого шпионажа. Цели получения информации неизвестны.

В «Лаборатории Касперского» отмечают, что скорее всего эта же группа хакеров известна под именем Blue Traveler – её целями также являются госструктуры РФ и СНГ, и они также используют метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач.

Группа тщательно скрывает следы – гигабайты информации были украдены, прежде чем антивирусы или службы ИБ замечали присутствие злоумышленников.

Руководитель отдела динамического анализа вредоносного кода Group-IB Р. Миркасымов комментирует ситуацию: «Эксплуатация легитимных утилит позволяет киберпреступникам оставаться незамеченными, скрыв следы вредоносной активности за действиями пользователей».

Случай с TaskMasters необычен тем, что используемая утилита является легитимной, но не входит в стандартный состав ПО, используемый на большинстве узлов инфраструктуры.

Стоит отметить, что планировщик задач также был использован и преступными группами Cobalt и MoneyTaker для атак на банковский сектор.