Хакери вкрали мільйони з банків з допомогою шкідливого ПЗ

У кінці 2013-го банкомат в Києві почав видавати гроші в довільні моменти. Ніхто не вставляв у нього картки і не доторкався до кнопок. Камери зафіксували, що гроші забирали люди, які випадково опинилися поруч у той момент.

Але коли для розслідування залучили «Лабораторію Касперського», вона виявила, що «сбрендившее» пристрій — найменша з проблем банку.

На банківських комп'ютерах, з допомогою яких співробітники здійснювали щоденні перекази і вели бухгалтерський облік, було злоблива, що дозволяло кіберзлочинцям реєструвати кожен крок. Згідно з результатами розслідування, ЗА ховалося там місяцями, відправляючи відео та зображення, які повідомили злочинної групи — в яку входили росіяни, китайці, європейці — як банк здійснював свої щоденні операції.

Потім зловмисники видавали себе за співробітників банку, не лише включаючи пристрої для видачі грошей, але і переводячи мільйони доларів з банків в Росію, Японію, Швейцарію, США та Голландії на підставні рахунки.

У звіті, який планується опублікувати в понеділок і який заздалегідь надали The New York Times, «Лабораторія Касперського» каже, що масштаб цієї атаки на більш ніж 100 банків та інших фінансових організацій в 30 країнах може зробити це одним з найбільших пограбувань банків в історії — і при цьому позбавленим звичайних ознак пограбування.



«Лабораторія» каже, що з-за угод про нерозголошення з постраждалими банками вона не може їх назвати. Білий дім США і ФБР були повідомлені про знайдений, але кажуть, що потрібен час для підтвердження даних для оцінки втрат.

Компанія заявляє, що через своїх клієнтів отримала свідоцтва крадіжки на $300 мільйонів у її клієнтів, і вважає, що загальні збитки можуть бути втричі вище. Але цю оцінку неможливо перевірити, бо розміри транзакцій при розкраданні були обмежені $10 мільйонами (хоча деякі банки постраждали неодноразово). У багатьох випадках зняті суми були скромнішими, ймовірно, щоб залишатися непоміченими.

Більшість постраждалих організацій розташовуються в Росії, але багато також в Японії, США і Європі.

Поки що жоден банк не визнав крадіжку — типова проблема, на яку звернув увагу Обама у п'ятницю, відвідавши перший саміт Білого дому з кібербезпеки та захисту споживача, що пройшов у Стенфордському університеті. Він висловився за прийняття закону, який би вимагав публічного розкриття інформації про будь злом, при якому була викрадена персональна або фінансова інформація.

Але консорціум, попереджає банки про зловмисної активності — Центр аналізу та обміну інформацією між фінансовими службами — повідомив у заяві: «Наші учасники знають про цю активності. Ми поширили інформацію про цю атаку серед наших учасників», а також «деякі брифінги були проведені правоохоронними органами».

Асоціація американських банкірів відмовилася від коментарів, і її керівник Дуглас Джонсон сказано, що група буде вважати єдиним коментарем заяву консорціуму. Слідчі Інтерполу сказали, що їх сінгапурські фахівці з кіберзлочинів координують розслідування спільно з правоохоронними органами постраждалих країн. Також було повідомлено голландське Dutch High Tech Crime Unit, підрозділ національної поліції, що розслідують деякі з найбільш складних фінансових кіберзлочинів.

Мовчання навколо розслідування виглядає викликаним частково небажанням банків визнавати, що їх системи виявилися настільки вразливі, а частково тим фактом, що атаки продовжуються.

Керуючий директор північноамериканського офісу «Лабораторії Касперського» в Бостоні, Кріс Доггетт, заявив, що «угруповання Carbanak», названа по використовуваному зловредному, показує підвищення хитромудрості кібератак на фінансові компанії.

«Ймовірно, це найскладніша атака в історії з точки зору тактик і методів, які використовуються кіберзлочинцями для того, щоб залишитися непоміченими», — сказав він.

Як і у випадку з нещодавнім атакою на Sony Pictures, яку Обама в п'ятницю знову назвав справою рук Північної Кореї, зломщики були дуже терплячі, розмістивши слідкуючий ЗА комп'ютери і системних адміністраторів і спостерігаючи за їх діями місяцями. Свідчення говорять про те, що в даному випадку зломщики представляли не країну, а групу кіберзлочинців.

Але залишається відкритим питання про те, як афера такого масштабу могла тривати майже два роки без того, щоб банки, регулятори або правоохоронні органи схаменулися. Займаються розслідуванням кажуть, що відповіді можуть ховатися в методі хакерів.

У багатьох відношеннях цей злом почався стандартно. Кіберзлочинці відправляли своїм жертвам заражені листи — новина або повідомлення, які приходили нібито від колеги — в якості приманки. Коли банківські працівники кликали, вони ненавмисно скачували злобливий код. Це дозволяло хакерам поширюватися по мережі банку, поки вони не добиралися до співробітників, які керували системами переказу грошей або віддалено контроливовавших банкомати.

Потім, за словами співробітників Касперського, зловмисники встановлювали RAT — remote access tool — дозволяла отримувати відео та скріншоти з комп'ютерів співробітників.

«Мета була в тому, щоб перейняти їх дії, — сказав The York Times Times телефоном з Росії Сергій Голованов, провідний розслідування в «Лабораторії Касперського». — У цьому випадку все виглядає як нормальні, повсякденні транзакції».

Злочинці витратили багато сил на те, щоб вивчити особливості системи кожного банку, в той же час заводячи рахунки в банках США і Китаю для переказу грошей на них. Дві людини, поінформовані про хід розслідування, кажуть, що рахунки були створені в J. P. Morgan Chase і Agricultural Bank of China. Жоден з банків не відповів на запит коментаря.

«Лабораторія Касперського» була заснована в 1997 році і стала одним з найвідоміших прикладів високотехнологічного російського експорту, але її частці ринку в США заважало її походження. Її засновник Євген Касперський, вивчав криптографію у вузі, який частково фінансувався КДБ і Міноборони, і працював на російську армію до відкриття своєї компанії.

Коли приходив час нажитися на своїх діях — період, який розслідування називає, які відрізняються від двох до чотирьох місяців — злочинці використовували кілька шляхів. У частині випадків вони використовували онлайнові банківські системи для переказу грошей на свої рахунки. В інших випадках командували банкомату видати гроші там, де чекав один із спільників.

Але найбільші суми були викрадені зломом банківських облікових систем та маніпулювання балансами. Видаючи себе за співробітників, злочинці штучно завищували баланс — наприклад, рахунок з $1 000 оброблявся так, щоб відображатися як рахунок з $10 000. Потім $9 000 виводилися з банку. Справжній власник рахунку не міг нічого запідозрити, а в банку потрібний час, щоб розібратися, що сталося.

«Ми виявили, що багато банків перевіряють рахунки лише раз в 10 годин або близько того, — сказав Голованов. — Так що у проміжок можна встигнути поміняти числа і вивести гроші».

Успіх хакерів вражає. Як заявляє «Лабораторія Касперського», одна з компаній, що є її клієнтами, втратила $7,3 мільйона через одні лише банкомати. В деяких випадках гроші переводилися через систему SWIFT, що використовується банками для міжнародних переказів. Вона довго була метою хакерів — і так само довго за нею стежили спецслужби.

Доггетт порівняв більшість кіберзлочинів зі злочинами в дусі «Бонні і Клайда», коли вриваються грабіжники, хапають все можливе і біжать. А в цьому випадку, сказав він, «швидше схоже на «11 друзів Оушена».

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.