Фото: Beawiharta Beawiharta / Reuters
Фірма, чий банкомат був дискредитований, звернулася до «Лабораторії Касперського» (ЛК) з проханням зайнятися розслідуванням цього випадку, і виявилося, що київський апарат був сніжком на вершині величезного айсберга.
Фото: Олег Харсеев / «Коммерсант»
Робота співробітників банку
Фото: Дмитро Коротаєв / «Коммерсант»
Така схема дала банді шахраїв доступ до життєво важливої системі банку, зокрема віддалений доступ до системи управління банкоматами та можливості переводити мільйони доларів з банків усього світу на рахунку в інших країнах. Назви установ при цьому залишаються невідомими, так як в «Лабораторії Касперського» відмовилися надати цю інформацію через договір про нерозголошення.
Російська компанія спільно з Європолом та Інтерполом встановила, що хакерська атака тривала протягом двох років. Фахівці вважають, що за операцією варто міжнародне угрупування, що включає кіберзлочинців з Росії, України, ряду європейських країн, а також Китаю. Тоді як географія організацій, які стали мішенню зловмисників, обчислюється більше 100 установами майже на всіх континентах: Росія, Україна, Китай, США, Європа. Всього - більше 30 країн. Все це говорить про найбільший в історії банківському шахрайстві.
В основному розкрадання за раз не перевищували 10 мільйонів доларів, говориться в доповіді ЛК, однак злочинці могли атакувати одну організацію не один раз. Вся операція - від першого проникнення до виведення грошей з системи банку - займала від двох до чотирьох місяців. Шахрайські рахунки були відкриті в банках Китаю і Америки, однак експерти не виключають, що злочинці також могли зберігати вкрадені гроші в банках інших країн і виводити їх через онлайнові платіжні системи.
Фото: Joel Saget / AFP
«Ці пограбування банків відрізняються від інших тим, що кіберзлочинці застосовували такі методи, які дозволяли їм не залежати від використовуваного в банку ПО, навіть якщо воно було унікальним. Хакерам навіть не довелося зламувати банківські сервіси. Вони просто проникали в корпоративну мережу і вчилися, як можна замаскувати шахрайські дії під легітимні », - пояснив особливість атаки Сергій Голованов, провідний антивірусний експерт« Лабораторії Касперського ».
Ще одним способом крадіжки коштів стало отримання контролю над банкоматами: злоумишленіікі активували команду на видачу грошей у встановлений час, і до цього моменту до апарату підходив хтось із членів банди, як в тому першому випадку з київським банкоматом.
«Ми з'ясували, що багато банків перевіряють свої рахунки тільки через кожні 10 годин або близько того", - пояснює Голованов. - І тому в певний проміжок часу можна було міняти числа і переводити гроші ».
Суми, викрадені з допомогою згаданих тактик, були вражаючими. Так, один з постраждалих банків втратив 7,3 мільйона доларів тільки шляхом крадіжки через банкомат. Інша фірма не дорахувалася 10 мільйонів доларів через махінації з системою бухгалтерського обліку. У деяких випадках переказ коштів проходили через систему SWIFT, яку банки використовують для перенесення вкладів за кордон.
Як заявив керуючий директор «Лабораторії Касперського» представництва Північної Америки Кріс Доджетт в інтерв'ю NYT, схема хакерів була «більше схожа на фільм" 11 друзів Оушена "», настільки масштабної і продуманої була організація злочинів.
Про інші подробиці, крім схеми шахрайства хакерів, відомо мало. У «Лабораторії Касперського» лише відзначили, що для отримання грошей з рахунків або з банкоматів злочинці користувалися послугами так званих дропов або «грошових мулів». Також відомо, що всього в Carbanak задіяно кілька десятків людей.
Однак відмінності двох вітчизняних компаній з кібербезпеки криються навіть в основних пунктах. Так, в бесіді з «Лентой.ру» керівник відділу розслідувань Group-IB Дмитро Волков пояснив, що їх розслідування спільно з голландською компанією з інформаційної безпеки Fox-IT виявило подібні методи крадіжки коштів у фінансових організаціях тільки на території Росії і України, в інших країнах таких випадків зафіксовано не було.
Фото: Олександр Щербак / «Коммерсант»
До того ж в звітах двох компаній шкідливе ПО називається по-різному: Anunak у Group-IB і Carbanak у «Лабораторії Касперського», що також привносить плутанину, чи говорять експерти про дві назви однієї програми або про різні шкідливих продуктах. В обох компаніях «Ленте.ру» підтвердили, що мова йде про одне й те ж ПО.
У «Лабораторії Касперського» пояснили, що на відміну від Group-IB компанія задіяла міжнародні силові органи, які дозволили розширити знання про географію діяльності злочинців.
«Наш підхід до дослідження цієї кампанії відрізнявся з самого початку. Ми брали участь в глобальному розслідуванні і взаємодіяли з міжнародними організаціями, національними та міжнародними правоохоронними органами та кількома центрами CERT по всьому світу. Це дозволило нам отримати унікальні дані і повну картину всього розслідування », - відзначили представники« Лабораторії Касперського ».
Більш того, у двох компаній розходяться суми збитку: у ЛК значиться майже 1 мільярд доларів, в той час як у Group-IB - 1 мільярд рублів, що ще може бути пояснено відмінністю даних про географію події.
«Ленте.ру» пояснили, що ЛК вважає 1 мільярд доларів потенційним загальним розміром збитків фінорганізацій. У компанії є докази про крадіжки на суму 300 мільйонів доларів, ще близько 300 мільйонів доларів - це приблизна оцінка збитку компаній, які постраждали від злочинців, але не заявили про це. Відомості про останній третині суми, за заявою ЛК, були отримані від міжнародних правоохоронних органів, з якими проводили розслідування експерти російської компанії.
Як пояснив «Ленте.ру» Олексій Сизов, керівник напрямку по боротьбі з шахрайством центру інформаційної безпеки компанії «Інфосистеми Джет», в подібній атаці не були використані нові або невідомі раніше методи. Однак успіх хакерів полягав саме в системності, послідовний підхід і високої організованості. «Хакери не влаштовують атаку в лоб, розпізнавану черговими адміністраторами або добре налаштованими системами захисту периметра і контролю вторгнень. Зловмисники послідовно від одного кордону захисту до іншого отримують доступи до основних банківських систем, - говорить він. - Набагато простіше змінити суму на банківській картці на кілька порядків, змусити систему формування платежів додавати кілька нулів до оригінальної транзакції, ніж красти гроші з сотень і тисяч карт простих клієнтів ».
Саме такий підхід, вважає він, не залишає шансів слабоавтоматізірованним системам і персоналу чергових служб розгледіти в мільйонах подій саме те, що є ланцюжком проникнення, розтягнутої на тижні або місяці. «Складність виявлення таких зломів полягає в тому, що контроль тільки частини систем не дозволяє виявити реальну активність зловмисників - вона занадто добре замаскована під звичайні дії користувачів і може бути визначена тільки сукупністю фактів з більшості систем ІБ (інформаційної безпеки). Однак банків, в яких існують і головне активно експлуатуються комплексні системи контролю за подіями ІБ, системи контролю операцій персоналу і системи кроссканального антіфрода, - одиниці, а банків - тисячі », - зазначив експерт.