Хакери і біржі: До яких наслідків можуть призводити атаки на фінансові компанії



У нашому блог на Хабре ми пишемо про різних аспектах, пов'язаних із роботою на біржі. І питання інформаційної безпеки є найбільш актуальними з них. Недобросовісні трейдери і працівники фінансових компаній часто не можуть встояти перед спокусою використання інсайдерської інформації собі на благо — іноді для її передачі застосовуються оригінальні інструменти на зразок ігрових чатів.

Однак великі гроші, які «живуть» на фінансових ринках привертають не тільки непідготовлених зловмисників, але і цілі хакерські злочинні угруповання, які використовують високотехнологічні засоби нападу. Сьогодні ми поговоримо про те, до яких наслідків можуть призвести їхні дії, і як захиститися простим учасникам біржових торгів.

Троян Corkow: стрибок курсу рубля і 244 млн збитку

Наприкінці лютого минулого року хакери влаштували паніку на Московській біржі. Протягом п'ятнадцяти хвилин курс долара «скакав» в дуже великому для звичайного ходу торгів діапазоні. Невідомий трейдер спочатку продавав долари по 55 рублів, а потім купував, але вже по 65. Раптово виникла волатильність дозволила, наприклад, укласти угоду на купівлю доларів за курсом 59,0560 і через 51 секунду продати їх за курсом 62,3490.

Винуватцем події був спочатку названий казанський «Енергобанк», від чийого імені і виставлялися неринкові заявки — всього на суму понад $500 млн. Всього за 15 хвилин збиток для банку склав 244 млн рублів. Спочатку учасники торгів і представники регуляторів висували різні версії, ніяк не пов'язані з діями хакерів. Приміром, перший заступник голови Центробанку Сергій Швецов звинуватив казанський банк у свідомому маніпулюванні валютою. Деякі фінансисти вирішили, що так представники «Енергобанку» виводять гроші.

Коли в банку зажадали скасувати всі угоди та повернути кошти, учасники цих транзакцій визнали угоди легальними — в результаті банк подав до суду на брокерів, чиї клієнти стали контрагентами скоєних хакерів доведуть до банкрутства неринкових операцій.

Надалі МВС звернулося до компанії Group-IB, яка займається киберраследованиями. Саме її фахівці опублікували звіт, в якому розповіли, що відбулися фінансовими маніпуляціями стоїть група хакерів.

Фактично, вони використовували відомий з початку 2010-х років «троян» Corkow, яких заразили термінал віддаленого управління операціями банку. Що цікаво, за даними ЗМІ, наприкінці березня 2015 року комітет по валютному ринку Московської біржі рекомендувала правлінню біржі виключити фінансова установа із складу учасників торгів валютного ринку з-за недостатньої захищеності системи інформаційної безпеки.

Троян, який використовувався для атаки, може відкривати на зараженому комп'ютері канал віддаленого управління через легітимно виглядають сайти або файли. В результаті хакери отримують можливість віддаленого управління. Corkow постійно оновлюється для обходу антивірусних програм. За словами ІБ-експертів, троян заразив вже 250 тисяч комп'ютерів у всьому світі, а також проник у системи більш ста фінансових компаній. У всіх банках, де була зафіксована ця шкідлива програма, був встановлений і коректно працював антивірус, що не завадило Corkow в деяких випадках залишатися непоміченим більше шести місяців.

На даний момент невідомо, чи вдалося хакерам дійсно вкрасти гроші у ході несанкціонованих операцій. Хто точно зумів заробити — так це звичайні біржові трейдери, які вчасно зорієнтувалися і змогли купити або продати валюту за вкрай вигідному для себе і невигідним для банку курсом. Єдиний спосіб повернути ці гроші назад — стягнути їх з тих, хто впровадив шкідливе ПО в систему банку. Є версія, що сприятиме хакерам міг колишній співробітник банку, який вирішив помститися за своє звільнення.

Тим не менш, до цих пір немає жодних остаточних висновків, розслідування триває, кінцевий одержувач 250 мільйонів не знайдено.

Від російських хакерів страждають і іноземні фінансисти

В доповіді Комісії з цінних паперів США, опублікованому в лютому минулого року, повідомлялося, що 88% брокерів, так чи інакше, стикаються в своїй роботі з хакерськими атаками. За статистикою, спроби проникнення в мережу найбільших банків Америки відбуваються кожні 34 секунди. Часто за цими кібератаками стоять іноземні хакери — часто росіяни.

Так група імовірно російських хакерів у жовтні минулого року успішно атакувала сервери компанії-постачальника фінансових даних і видавця профільних ЗМІ Dow Jones, викравши інформацію, яку можна було продати учасникам біржових торгів. Ще за тиждень до цього випадку з компанії викрали контакти близько 3500 клієнтів. ФБР так і не вдалося з'ясувати, чи пов'язані між собою ці атаки на Dow Jones.

У жовтні 2010 року хакери (знову росіяни) здійснили зухвалу кібератаку на біржу Nasdaq. ФБР отримали сигнал тривоги з біржі про те, що в системі вірус. Притому після його вивчення в бюро прийшли до висновку, що шкідливе ПО впровадили не прості хакери, а ворожі спецслужби. Журналісти багатьох західних видань намагалися з'ясувати, які наслідки мала ця атака, але жоден з експертів так і не відповів на питання. Але саме цей випадок показав американським спецслужбам, так і всьому світу, наскільки уразливі для кібератак біржі, банки, а також об'єкти інфраструктури.

Атаки на Dow Jones і Nasdaq — далеко не єдиний спроб російськомовних хакерів заволодіти фінансовою інформацією. В серпні 2015 року влада США провели аресты російськомовних хакерів, які зламали системи інформаційних терміналів PRNewswire, Marketwired і Businesswire з метою отримання інсайдерських дані для торгів на біржі. Як стверджується, злочинна група за кілька років свого існування змогла заробити таким чином понад $100 млн доларів.

image

Арешт одного з обвинувачених Віталія Корчевського

Однак фінансові компанії та біржі атакують далеко не тільки хакери з нашої країни. Так в липні минулого року було скоєно напад на Нью-Йоркську біржу, у результаті якого її робота зупинилася на кілька годин. Незважаючи на те, що представники біржі заявили про «технічні неполадки», багато коментаторів не повірили в цю версію, причиною тому став підозрілий твіт в Twitter-акаунті угруповання Anonymous, опублікований за 12 годин до збою.

image

Цікаво, чи станеться завтра щось погане для Уолл-стріт… можна тільки на це сподіватися.

Крім того, творець антивіруса McAfee Джон Макафі у своїй колонці для британського видання IBTimes заявил про те, що причиною збою біржі могли стати дії хакерів «начебто Anonymous». Нібито, Програміст вивчив діалоги хакерів в тіньовій частині інтернету (dark web), в яких вони вітали один одного з «успішною роботою на Уолл-стріт». Журналісти припустили, що причиною можливої атаки могло стати широке висвітлення в пресі фондового кризи в Китаї.

Як захиститися

На сучасних біржах діють правила, які дозволяють звести до мінімуму наслідки раптових і сильних рухів ціни. Зазвичай, перед початком торгів встановлюється коридор, в рамках якого ціна може змінюватися в ході торгової сесії. При виході за її межі торги зупиняються — це дозволяє запобігти ситуації, коли при виникненні паніки на ринку ціна будь-яких фінансових інструментів може впасти на десятки відсотків за день.

Крім того, збої можуть відбуватися і з причин, не пов'язаних з діяльністю кіберзлочинців. У будь-якому випадку, зупинка торгів — це далеко не єдина можлива проблема. Помилки в роботі біржових системи можуть призводити до некоректного відображення торгових даних або невірного розрахунку гарантійного забезпечення для утримання позиції (помилка може призвести навіть до передчасного закриття угоди)

Для того, щоб мінімізувати можливий збиток брокерські компанії розробляють різні системи захисту клієнтів. Про те, як реалізована подібна захист в торговельній системі ITinvest MatriX можна прочитати за посилання.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.