Главная цель хакеров - это вы

Киберкриминал, да и просто мошенники всех мастей, не давали банкирам весь 2016 год забыть о себе. А чтобы их мелкие (и не очень) делишки посильнее врезались в память, пик активности как хакеров, так и правоохранителей пришелся на декабрь

16 декабря 2016 года всем поклонникам детективного жанра компания Positive Technologies представила детальный отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации были похищены несколько миллионов рублей (эквивалент в местной валюте). Избежать более крупных потерь банку помогла случайность: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, из-за чего злоумышленникам не удалось выполнить свои задачи по выводу денег полностью.

Cobalt — новый тренд или старый знакомый?

Из этого отчета помимо всего прочего любой желающий смог сделать два вывода. Во-первых, у организованной киберпреступности не было и нет государственных границ. Поэтому, говоря о проблемах соседей, следует иметь в виду, что, скорее всего, вы еще не в курсе, что сходные проблемы нависли и над вами. Во-вторых, ИБ как была хай-теком всего высокотехнологичного сектора, так и осталась. Не обладая соответствующей квалификаций, лучше в хакеры не идти. Роль «гопника на районе» куда безопасней. Зато те, кто проявил себя с лучшей стороны, обречены на «вечную славу» и гарантированное рабочее место в любой преступной группировке. История с Cobalt — яркое тому подтверждение.

Информация о деятельности преступной группы, именуемой Cobalt, о которой пишет Positive Technologies, появилась в ноябре 2016 года, когда был выпущен обзор компании Group-IB. В нем деятельность Cobalt связывают в первую очередь с известной ранее кампанией Buhtrap. Именно эта группа, предположительно, стоит за хищением более 1,8 млрд рублей со счетов российских банков в 2015-2016 годах. Предполагается также, что часть участников группы перешла в Cobalt либо костяк Buhtrap переключил свое внимание на банкоматы.

В это же время, осенью 2016 года, Positive Technologies проводила расследование компьютерного инцидента в одном из банков Восточной Европы, где были зафиксированы фишинговые рассылки и факты компрометации множества ресурсов внутренней сетевой инфраструктуры, а также сети банкоматов. Все следы явно указывали на нацеленную атаку (APT), а выявленные факты — на деятельность организованной преступной группы, которая в период с августа по октябрь успешно осуществила ряд аналогичных атак на различные банки в России и Восточной Европе, а в ближайшем будущем может активизироваться и на Западе. Анализ данных подтвердил причастность группы Cobalt.

В чем ценность этого кейса от Positive Technologies и почему с ним стоит внимательно ознакомиться? В нем описан пример реальной APT-атаки, которая может быть осуществлена по отношению к любому из банков в любой точке мира. Для ее реализации группа использовала общедоступное программное обеспечение, а недостатки и уязвимости, которые были эксплуатированы, являются одними из наиболее распространенных в корпоративных системах большинства организаций, в том числе в банках.

В качестве некоторых выводов по данной атаке следует упомянуть следующее:

• злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. Добраться до уязвимостей помогают фишинговые рассылки, которые остаются одним из самых успешных векторов атаки в силу недостаточного уровня осведомленности работников банков в вопросах ИБ;

• целенаправленная рассылка электронных писем, имитировавших финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время осуществили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них;

• APT становятся все более организованными и распределенными во времени. Старт данной атаки пришелся на начало августа. В сентябре начались атаки в целях выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО в банкоматы и осуществили кражу денежных средств: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России, в качестве одного из важнейших уроков инцидента отметил: «Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь “для галочки”, с целью соответствия требуемым стандартам».

Армагедонн в понедельник, 5-го, так и не случился

Среди многочисленных авторов сообщений об атаках на кредитные организации, случившихся в декабре 2016 года, особняком стоит Федеральная служба безопасности (ФСБ), которая 2 декабря выпустила сообщение о том, что получена информация о подготовке иностранными спецслужбами масштабных кибератак, целью которых является дестабилизация финансовой системы России, включая деятельность ряда крупнейших российских банков. Ожидалось, что кибернападения будут сопровождаться массовыми рассылками sms-сообщений и публикациями провокационного характера в социальных сетях (в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ведущих банков).

В этом случае интересно не столько то, откуда у ФСБ появилась эта информация и с кем она ей поделилась, а то, как на нее отреагировали.

В Positive Technologies, уже зная все о Cobalt, заявили: «Мы считаем, что атаки, о которых предупреждает ФСБ, вполне реальны. Более того, практика расследований подтверждает, что в последние год-два резко увеличилось именно число целевых атак на банки. Любая такая атака чаще всего является гибридной: нацеленной как на остановку сервисов, так и на прямые финансовые хищения, и использует в качестве инструмента технологические возможности, а также методы социальной инженерии и манипуляции».

Алексей Лукацкий, известный эксперт в области ИБ, у себя в блоге разместил свое «официальное заявление» по этому поводу, где он скорее критикует спецслужбу, чем одобряет ее действия: «Я считаю, что данные в Интернете редкие рекомендации не имеют никакого отношения к действительности, так как исходят из привычной парадигмы “банк может быть атакован хакером, цель которого украсть деньги”. В данном случае речь идет о совершенно иной мотивации у тех, кто стоит за планируемыми атаками, и хищения средств, скорее всего, не предвидится. Также малореализуемые и неконкретные рекомендации банкам по присоединению к ГосСОПКА, обращению в FinCERT, чтению отраслевых стандартов или реализации правил разработки безопасных приложений. Если вы (банк) этого не делали раньше, то сейчас уже поздно. Более того, когда федеральный орган исполнительной власти, уполномоченный в области национальной безопасности страны, публикует свою новость перед выходными и у целевой аудитории остается меньше суток на принятие каких-либо мер, то рекомендации должны быть очень конкретными и понятными».

«Ситуация находится под контролем, — сказал представитель ЦБ «Российской газете». — Необходимые рекомендации банкам даны. Проведено совещание с Минкомсвязи и телекоммуникационными операторами, в рамках которого выработаны первоочередные меры по предотвращению таких атак». Наверное, единственным банком, который публично отчитался о том, как пережил эту «атаку», стал ВТБ. Изданию «Коммерсант» в группе ВТБ сообщили, что «зафиксировали слабые DDoS-атаки. По состоянию на вечер 5 декабря 2016 года было неизвестно, откуда атаковали ВТБ. Эксперты не исключают, что это отдельная история, но призывают банки не терять бдительности. По мнению специалистов, хакеры могли отложить масштабные мероприятия из-за широкой огласки».

Примерно такое отражение в публичной плоскости получила первая и пока единственная кибератака, о которой предупредила сама ФСБ. Однако это вовсе не значит, что история закончилась. Будем ждать новой информации.

Прежде чем закончить с «ужасами» декабря, вспомним распространенную американским новостным каналом CNN информацию о попытке хищения 5 млрд рублей из банковской системы страны. Однако, как выяснила «Российская газета», в ЦБ накануне выхода этой «утки», действительно указывали на то, что в начале года предпринимались попытки подмены входных данных для автоматизированного рабочего места клиента Банка России. Удалось предотвратить хищения на 1,67 млрд рублей, а в целом, по данным ЦБ, в 2016 году банки сообщили регулятору об ущербе в 5,2 млрд в результате атак на системы ДБО.

О том, какие меры регулятор в связи с этим уже предпринял и планирует в будущем, в ходе панельной дискуссии на третьей ежегодной конференции-консилиуме «IT-бюджет банка — 2017», организованной bankir.ru, рассказал Артем Сычев, заместитель начальника главного управления безопасности и защиты информации Банка России. В частности, настоятельно рекомендуется задуматься о переносе электронной подписи из автоматизированного рабочего места клиента Банка России в автоматизированную банковскую систему. Кроме того, в рамках Технического комитета № 122 идет обсуждение аутсорсинга информационной безопасности, который решит проблему чрезмерных затрат на небольшие финансовые организации. Ждут изменения Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации: технические подробности из него «переедут» в ГОСТ, что сделает стандарт ЦБ, посвященный информационной безопасности более гибким.

Цифровое банковское Средневековье

Считать, что преступники нацелены исключительно на банки, ошибочно. Атакуют всю платежную (и не только) экосистему сразу, целенаправленно выискивая наименее защищенные участки и наиболее «жирных клиентов». Поэтому речь об ИБ должна вестись, во-первых, как о непрерывном процессе, и, во-вторых, как о комплексной проблеме. Об этом в рамках форума Finopolis 2016 говорил генеральный директор «Лаборатории Касперского» Евгений Касперский. По его словам, в век, который сами же финансисты называют «цифровым», забывать, что любые инновации, так милые сердцу «цифровых банкиров», являются не конечным этапом построения новых сервисов, а всего лишь элементом циклического характера процесса эволюции.

Результатом такого «склероза» становится построение некоего «защищенного» продукта, окруженного, как пустыней, IT-ландшафтом, о котором «безопасники» знают, но который, тем не менее, игнорируют. Касательно банковской сферы это происходит по причине ставки на соответствие нормативам регулятора, а не на достижения реального уровня системы ИБ, самым слабым звеном которой, как известно, являются люди. Это, по словам Касперского, иначе как «цифровым Средневековьем» назвать нельзя. Поэтому вопиющий случай с частично удавшейся попыткой ограбления ЦБ Народной Республики Бангладеш — закономерность.

Ну а раз сами же некоторые потенциальные жертвы по старинке не хотят думать «дальше своего периметра», находится немало желающих доказать первым, что мир стал мобильным, а значит, другим.

Сергей Гордейчик из «Лаборатории Касперского» на одной из сессий Finopolis, развивая эту тему, рассказал о том, что бюджеты на НИОКР мирового киберандеграунда и не снились любому банку мира. Эти ребята не испытывают пиетета перед грандами мировой финансовой инфраструктуры и атакуют помимо всего прочего SWIFT — святая святых платежной инфраструктуры. Рассказал спикер и о нашумевшей группировке Lazarus Group — одной из самой «трудолюбивых» APT-группировок из всех изученных «Лабораторией Касперского» хакерских сообществ.

«Это не просто новый рынок для меня и других компаний. Это новая киберреальность. Нельзя подходить к ней с точки зрения традиционных средств безопасности: сделали систему, шлеп сверху антивирус — и поехали. Это плохо. Это работает медленнее и дороже в обслуживании. Так устроены технологии, которые мы используем сейчас, и они все очень старые. Им по 20–30 лет. Их разрабатывали в те времена, когда хакеров не было и не существовало понятия “кибертерроризм”. Сегодня необходимо изначально проектировать новые системы на безопасных платформах, где ИБ must be», — цитирует Евгения Касперского bankir.ru.

Практическая безопасность

Сергей Лебедь, руководитель службы информационной безопасности Сбербанка, в интервью «Б.О» озвучил довольно интересные факты и наблюдения:

«За восемь — десять лет ситуация в области киберпреступности в банковской сфере драматически изменилась. Если, например, восемь лет назад 98% преступлений, связанных с мошенничеством, составляли грабежи и воровство наличных денег и только 2% приходилось на кибермошенничество, то сейчас ровно наоборот: 98% — это киберпреступления и только 2% приходится на все остальное.

Кроме того, эта тенденция каждый год неуклонно усиливается. Например, в 2015 году ЦБ зафиксировал около 32 тыс. попыток воровства денег у клиентов российских банков через электронные каналы. Если бы не противодействие служб информационной безопасности и правоохранителей, ущерб составил бы приблизительно 5 млрд рублей. По сравнению с 2014 годом — рост в 12 раз!»

Ежесуточно Сбербанк фиксирует более 25 тыс. срабатываний антивируса Касперского на смартфонах пользователей. Понятно, что это касается не всех телефонов, а в основном устройств тех пользователей, которые нарушают правила безопасности, стараются установить всевозможные приложения с непроверенных источников и т.д.

По предварительным данным, 2016 год не стал исключением, рост продолжается! Например, по данным Сбербанка с августа 2016 года до конца 2016 года в России были зафиксированы атаки на 21 банк, общая сумма ущерба составила около 2,5 млрд рублей. Методы хищения денежных средств со счетов банков совершенно разные, но в целом ситуация выглядит примерно так. Преступность переориентируется с эксплуатации уязвимостей устройств конечных пользователей, банкоматов, POS-терминалов на инфраструктуру банков. Причем атакуют не только банки: мировая статистика свидетельствует о том, то похожие атаки происходят в аэропортах, больницах, торговых сетях и много еще где.

«При этом существуют и иные деяния киберкриминала, которые не приводят к краже денег напрямую, а воздействуют на работоспособность организации в целом. Это, например, DDoS-атаки. Именно поэтому Сбербанк реализует стратегию кибербезопасности на 2014–2018 годы, чтобы не дожидаться, когда в нашу дверь начнут ломиться бандиты, а бороться с преступниками в проактивном режиме, предотвращать уже сегодня угрозы завтрашнего дня», — говорил Сергей Лебедь.

Что же в итоге? Очевидно, что в одиночку банкирам бороться против индустрии киберпреступности невозможно. Поэтому целые секторы ИБ уходят в облака и на аутсорсинг: DDoS, антифишинг и т.д. Невзирая на геополитические сложности, глобальные игроки идут на сближение и партнерство. Почему так происходит? В современном мире важен оперативной обмен информацией, аккумулирующейся в FinCert и аналогичных структурах. Только таким образом можно бороться с таргетированными атаками.