С этой осени банки будут обязаны докладывать Банку России о каждом случае хакерской атаки немедленно после ее совершения, сообщили «Профилю» в пресс-службе ведомства. Это повысит шансы в борьбе с виртуальными грабежами, уверен регулятор. Но при этом банки часто не выполняют множество рекомендаций ЦБ по кибербезопасности. Именно это специалисты по защите от атак называют в числе главных факторов уязвимости банков перед хакерами. Да, банкам, особенно небольшим и средним, и так сложно выживать, и затраты на безопасность поэтому у них не в приоритете. Но любые такие расходы будут в десятки раз ниже потерь в случае проникновения в систему злоумышленников.
Случаи не заставляют себя ждать. Сейчас Банк России проводит расследование в связи с публикацией в открытом доступе исходного кода вредоносного программного обеспечения (ПО). В ЦБ опасаются, что это может спровоцировать новую волну виртуальных атак на банки. Общемировые потери от киберпреступности в 2022 году достигнут астрономической суммы $8 трлн, предсказал в начале июля на International Cybersecurity Congress глава Сбербанка Герман Греф. Это в 8 раз больше, чем сейчас. В десятки раз больше придется тратиться и на безопасность, считает он: если в 2014 году расходы компаний мира составляли $71 млрд, то через несколько лет они возрастут до триллиона.
Тогда же, в первых числах июля, стало известно об атаке на российский ПИР Банк. Пострадавший заявил, что десятки миллионов рублей были выведены «веерной рассылкой» на пластиковые карты физлиц в 17 банков из числа топ‑50. Большая часть этих денег была обналичена прямо в ночь хищения. И эта печальная новость июля – лишь один пример в череде многих. Теневой рынок киберуслуг растет и расширяет ассортимент, хакеры шифруются так, что найти их физически очень сложно, а инструменты, с помощью которых совершаются атаки, все совершенствуются.
Виртуальные вымогатели
«Проблема сложных целевых атак на банки сохраняется, и мы видим в этом году рост их количества», – констатируют в пресс-службе ЦБ. Число виртуальных нападений на кредитно-финансовые организации стало увеличиваться в 2016 году, отмечают аналитики Центра мониторинга и реагирования на компьютерные атаки в кредитной финансовой сфере Департамента информационной безопасности ЦБ (ФинЦЕРТ). В прошлом году, по данным ФинЦЕРТ, объем хищений у подотчетных организаций составил 1,35 млрд рублей.
Наиболее часто компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%), сделали вывод аналитики Qrator Labs в своем исследовании «Информационная безопасность в финансовом секторе 2017». «Потери от атак год от года растут, но этот рост больше связан не с увеличением числа кибератак (хотя оно, конечно, не падает), а с тем, что сегодня на рынке появляется все большее количество банков», – поясняет технический директор компании.
В России сфера DDoS также не отстает, продолжает эксперт. Так, 8 и 9 ноября 2016 года были атакованы веб-сайты как минимум пяти известных финансовых организаций из топ‑11, говорит он. Среди них Сбербанк, Альфа-банк, «Открытие», «ВТБ Банк Москвы» и Росбанк. «Атаки были организованы с помощью ботнетов, включающих десятки тысяч территориально распределенных машин интернета вещей», – заключил эксперт.
Тот факт, что финансовый сектор продолжает оставаться крайне привлекательным для киберпреступников, отмечают в «Лаборатории Касперского». «В последние 12 месяцев мы наблюдали большие перемены в мире киберугроз для финансовых организаций и появление новых APT-атак (Advanced Persistent Threat, сложная постоянная угроза или целевая кибератака. – «Профиль»), – говорит старший аналитик компании Константин Зыков. – Так, в конце 2017 года впервые было обнаружено вредоносное ПО Cutlet Maker для атак на банкоматы. Особенностью данного зловреда стало то, что его можно было купить на рынке Darknet за несколько тысяч долларов с прилагаемой пошаговой инструкцией для пользователя в комплекте».
Подробно изучить Darknet удалось экспертам Positive Technologies, на днях опубликовавшим отчет по исследованию более 10 тыс. предложений теневого рынка киберуслуг. Спрос втрое превышает предложение, установили эксперты. При этом самым дорогим «пакетным предложением» сейчас стало вредоносное ПО для банкоматов, стоимость которого $1,5 тыс. и выше. То есть, по сути, киберпреступность активно предлагает свои услуги всем желающим, которым совершенно не обязательно быть профессиональными хакерами-программистами – за «фраеров» все сделают профи киберпреступного мира.
Проанализировали Positive Technologies и мобильные приложения, выяснив, что больше половины программ дистанционного банковского обслуживания (ДБО) содержит критически опасные уязвимости. Правда, уровень защищенности приложений с каждым годом становится все лучше, что, по словам аналитика компании Ольги Зиненко, позволяет надеяться, что «финансовые приложения когда-нибудь станут безопасными».
В прошлом году новой целью для хакеров, причастных к целенаправленным атакам на банки, стал процессинг производителей терминалов самообслуживания, отмечали в своем отчете о трендах киберпреступности эксперты компании Group-IB, специализирующейся на киберразведке и раскрытии преступлений в виртуальной реальности. «Злоумышленники получают доступ к процессингам терминалов, как и к банкоматам, карточному процессингу, SWIFT, но система отмывания денег используется другая», – говорится в отчете. А новым способом уничтожения следов после целенаправленной атаки на банки стало использование программ-вымогателей, шифрующих данные на диске.
Неуловимые погонщики «мулов»
Характер атак в целом не изменился, говорят в пресс-службе Банка России. «Проникновение внутрь сетей происходит за счет простейших методов – рассылок электронных писем, содержащих загрузчики вредоносных программ и оформляемых с минимальными приемами социальной инженерии», – отмечают в ведомстве.
Другой способ проникновения – эксплуатация каких-то уязвимостей систем, доступных из Сети интернет, например, маршрутизирующих устройств. «Успешное развитие атаки после проникновения зависит от множества объективных и субъективных обстоятельств, – продолжают специалисты ЦБ, – таких, как состав оборудования и программ, наличие систем управления информационной безопасности, их настройки, наличие компетентных администраторов информационной безопасности и прочее».
Хакерских группировок много. При этом одни крадут деньги у юрлиц через систему клиент–банк, рассказывает заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин, другие работают на заражение смартфонов Android и похищают деньги через мобильный банкинг, третьи сосредоточились на целевых атаках на банки. В последней категории числится также северокорейская группировка Lazarus, которая маскировалась под «русских хакеров» и которую специалисты по кибербезопасности относят к числу «финансируемых государством». Но самыми опасными грабителями считаются сейчас две ОПГ – Cobalt и Money Taker.
О задержании в Испании предполагаемого лидера международной хакерской группировки Cobalt (она же Carbanak, она же Anunak) сотрудниками Европола и местной полиции сообщили в конце марта этого года. Этой ОПГ удалось похитить свыше миллиарда евро у 100 финансовых организаций в 40 странах мира. Подробности расследования не разглашались, не называлось даже имя задержанного, упоминалось лишь, что он «выходец из Восточной Европы», но и это не точно. Однако, с сожалением констатировал Сергей Никитин, проблемы это не решило: группировка продолжает атаки, последняя была зафиксирована в июле.
Причем, как ни парадоксально, в качестве орудия преступления киберграбители стали использовать легальное ПО, предназначенное для тестирования систем на взлом и проникновение. Это отмечают в комментариях и ЦБ, и Group-IB. Одно из таких ПО, выпускаемое в США, называется Cobalt Strike. Это имя получила впоследствии и группировка, взломавшая продукт. Сейчас, говорит эксперт Group-IB, американская компания-производитель предприняла строжайшие меры по безопасности, но взломанная версия их программы до сих пор присутствует на Darknet.
Как же происходит виртуальный грабеж? На примере одного из наиболее характерных случаев об этом рассказал Сергей Никитин. Взломав банк, преступники на различных хакерских форумах, в специальных разделах по аутсорсингу на снятие денег, нанимают людей с паспортными данными. Объявления так и звучат: «Работа для студентов, 3000 рублей за раз». Всего-то и требуется от студента: оформить на себя SIM-карту, отдать конверт нанимателю и получить деньги.
По сути, единственное, что они нарушили, – это договор с банком, сами они денег не снимали, на камерах не засветились, а в тюрьму за это не сажают. «А с SIM-картой мошенники могут отсылать SMS о переводе средств, – поясняет Артем Гавриченков. – Этот «метод» успешно работает, поскольку практически для любого банка номер телефона является достаточным средством аутентификации для целого ряда операций».
Так называемые «мулы» (обычно это люмпены, мелкие аферисты), продолжает Сергей Никитин, выпускают на свое имя легальные дебетовые карты (получить такую карту сейчас может кто угодно с 14 лет), а затем хакерская группа меняет на этих картах овердрафт и лимит снятия, допустим, на миллион евро. Эти «мулы» ходят по банкоматам и снимают деньги.
«Так как карта дебетовая, то изначально никаких подозрений не возникает, хотя потом полиция и может задать много вопросов, но на момент заключения сделки никто ничего не опасается», – говорит эксперт. «Мулов» поймать легко, но проблема в том, что они никогда ничего не знают: просто сняли деньги и отдали какому-то человеку. «Муловод» по-разному рассчитывается со своими сообщниками, например, может это делать с помощью криптовалют. Только выйти на такого «муловода» очень сложно – «он шифруется, общается со всеми только по Сети».
Хакеры-технари никогда напрямую ни с кем не общаются, и это самый охраняемый этап преступления. «Поэтому и расследование ведется именно с технической стороны: какие были рассылки, какие вирусы использовались, какие адреса управляющих серверов, где хостинги, где провайдеры и т.д», – резюмировал эксперт.
В результате расследования последнего крупного инцидента с ПИР Банком специалисты Group-IB установили, что за попыткой хищения десятков миллионов рублей стоит другая группировка – Money Taker. У них несколько иной способ проникновения в банки. «В последних инцидентах это был взлом маршрутизаторов, что позволило сразу попасть внутрь банковской сети без всяких почтовых рассылок, – говорит эксперт. – Найти уязвимый маршрутизатор сложнее, зато взломать его проще, чем провести качественную рассылку». Эксперты обнаружили инструменты, которые ранее уже использовала группа Money Taker для проведения атак на банки, вредоносные программы, а также сам метод проникновения в сеть. Все эти данные были переданы в ЦБ РФ.
На безопасности не экономят
На этих примерах группировки не заканчиваются. Сейчас Group-IB готовит публичный отчет по еще одной группировке, который представит на CyberCrimeCon‑2018 в октябре. А Константин Зыков из Kaspersky Lab рассказал, что еще прошлой осенью возникла новая угроза под названием Silence. «Эти атаки на финансовые институты по всему миру стали одними из самых сложных наравне с Lazarus и Carbanak, – поясняет эксперт. – Интересной особенностью стало использование преступниками инфраструктуры уже зараженных финансовых учреждений для новых атак – отправка новым жертвам сообщений с реальных адресов электронной почты сотрудников с запросом на открытие банковского счета. Использование этого трюка позволило преступникам усыпить бдительность получателя». Рост количества сложных целевых атак на банки отмечают и в ЦБ.
Но при этом, отмечают в Банке России, «успешных атак по сравнению с прошлым годом стало намного меньше, также существенно снизились и размеры хищений». Кроме того, по данным ФинЦЕРТ, в прошлом году зафиксировали некоторое снижение объема несанкционированных операций с использованием платежных карт, растет процент остановленных несанкционированных операций со счетов юрлиц. «Такой результат достигнут благодаря предпринимаемым самими организациями мерам информационной безопасности и повышению информированности об угрозах, чему немало способствует работа ФинЦЕРТ», – отмечают в пресс-службе ЦБ.
Оперативность становится ключевым фактором в предупреждении кибератак и в ликвидации последствий инцидента, подчеркивают в ЦБ. Поэтому Банк России «развернул автоматизированную систему обработки инцидентов в рамках информационного обмена ФинЦЕРТ», и на сегодняшний день к ней подключились более 150 кредитных организаций. Кроме того, если до сих пор банки отчитывались о совершенных на них кибератаках раз в квартал, то с осени их обязали делать это немедленно по обнаружении взлома.
«Однако стоит помнить, что позитивный тренд – это не победа над преступностью», – предостерегают в ЦБ. И под этим подпишется любой кибербезопасник. Сейчас под угрозой находятся в основном малые и средние банки, отмечает Сергей Никитин. По его словам, их главная проблема в том, что, хотя они неукоснительно выполняют все требования ЦБ по безопасности, рекомендации всерьез не всегда воспринимают. «Таких рекомендаций очень много, и невыполнение их часто приводит к успешным атакам взломщиков», – отмечает эксперт.
Бюджет по информационной безопасности многих таких финансовых организаций формируется «по остаточному принципу». «Допустим, специалисты по безопасности сообщают, что банку нужно перейти на свежую версию Windows, на которой регулярно выходят обновления, нужно поменять сетевое оборудование, так как на нынешнее больше не выпускают прошивки и оно уязвимо. На это потребуется, например, 50 млн рублей, – объясняет эксперт. – Но получают отказ под предлогом, что раз раньше инцидентов не было, то и впредь их не будет, незачем и тратиться на все эти обновления. А потом у этого банка крадут 500 млн. Только после этого начинают формировать бюджет на безопасность».
Компании, выпускающие оборудование, заранее предупреждают, что гарантия на новый маршрутизатор, например, один-два года, а обновления будут выпускаться пять лет. «Эти компании просто не могут позволить себе содержать такой огромный штат программистов, которые будут постоянно поддерживать устаревшее ПО и оборудование, оно тогда станет безумно дорогим, – продолжает специалист по кибербезопасности. – А ведь у нас еще много компаний, которые до сих пор используют Windows XP, но эта программа уже давно не обслуживается, патчей на нее не будет».
Это подтверждает и Артем Гавриченков из Qrator Labs. Он рассказал, что Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) на протяжении многих лет занимался задачей улучшения качества шифрования платежных данных в процессе их передачи от клиента к серверу. «Однако ввиду инертности крупных кредитно-финансовых структур и накопленной у них технологической задолженности решение этой задачи откладывалось год за годом, – говорит он. – Современный стандарт безопасности пластиковых карт подразумевает использование более-менее современного протокола шифрования TLS 1.1, однако не включает требований даже к существующей уже последней версии протокола TLS 1.2, а на подходе уже стандарт версии 1.3, внедрение которого, по всей видимости, столкнется с массированным противодействием со стороны таких компаний, как US Bank».
У России при этом есть еще одна специфика. Если у одних нет денег на защиту, то другие вбухивают в безопасность огромные средства, но о стратегии защиты даже не задумываются. Но бывает и так, что компания начинает лихорадочно выдумывать стратегию уже во время DDoS-атаки или «пытается реализовать сложную политику по реагированию на атаки ,вместо того чтобы внедрить решение, которое будет эффективно закрывать весь спектр проблем».
И антивирус вопреки представлениям вовсе не панацея от хакерской атаки. «Почти у всех стоит антивирус, но он никак защитить не сможет от подобных атак, – говорит Сергей Никитин. – Всегда есть возможность зашифровать вирус таким образом, что первые три-четыре дня он не будет датироваться ничем. Тут как в математике – антивирус необходим, но недостаточен». Достаточным для безопасности был бы целый комплекс мер, соглашается он с предыдущим экспертом. «Во‑первых, это постоянно обновляемое ПО, чтобы не было уязвимостей, – перечисляет он. – Во‑вторых, это сетевой сканер, который анализирует взаимодействие на сетевом уровне – что происходит в локальной сети и что стучится в интернет, ведь все трояны попадают во внутреннюю сеть с каких-то управляющих серверов, а эту активность можно засечь сетевым сканером–анализатором трафиков».
Против вредоносных рассылок и программ-шифровальщиков отлично помогает так называемая «песочница». «Когда приходит письмо с вложением, это вложение сначала открывается на другом компьютере («песочнице»), и специальная программа анализирует все, что при этом произошло, – резюмирует эксперт. – Если случилось что-то нехорошее, то «песочница» не допустит это вложение в вашу сеть». Да, все это может потребовать серьезного бюджета, и не каждый банк способен себе такое позволить. Но во многих странах именно по этой причине уже вовсю действует практика страхования – банки решают, выгоднее ли им совершенствовать защиту или страховать все свои деньги. В России такое пока применяется очень редко.