Разделы

ПО Безопасность Бизнес ИТ в банках

Из российского банка украли $1 млн через старый роутер

Хакеры взломали российский банк и вывели из него почти миллион долларов, используя давно устаревший роутер. Жертвой стала московская кредитная организация ПИР банк.

Старый роутер и денежные мулы

Российская компания Group-IB опубликовала результаты расследования инцидента в ПИР банке, в результате которого кредитная организация лишилась почти $1 млн. Атака была совершена еще в начале июля 2018 г. Тогда с корсчета ПИР банка в Банке России хакеры вывели около 58 млн руб., распределив их по счетам в 22 крупнейших банках с последующим оперативным обналичиванием украденного.

Эксперты Group-IB заявили, что за атакой стояли участники киберкриминальной группировки MoneyTaker, которые уже два года терроризируют банки в США и России.

Злоумышленникам удалось захватить контроль над старым, уязвимым роутером в одном из региональных подразделений банка и с его помощью смогли проникнуть в локальную сеть организации. Группировка Money Taker использовала этот метод уже как минимум трижды.

pirbank600.jpg
ПИР банк в результате хакерской атаки лишился $1 миллиона

Просочившись во внутренние сети банка, хакеры с помощью вредоносных программ обеспечили себе там устойчивое присутствие. Им также удалось подключиться к автоматизированному рабочему месту клиента Банка России (АРМ КБР), тем самым получив возможность выводить деньги с корсчета ПИР банка.

Следы замести не удалось

В ночь с 3 на 4 июля 2018 г. злоумышленники осуществили вывод средств. Спустя несколько часов они все уже были обналичены так называемыми денежными мулами в банкоматах по всей стране. Злоумышленники также успели очистить системные журналы ОС, журналы прикладных систем и удалить ряд системных файлов на множестве компьютеров ПИР-банка, — все для того, чтобы замести следы.

«Утром 4 июля, обнаружив многочисленные несанкционированные транзакции в общей сложности на несколько десятков миллионов рублей, сотрудники банка обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР, однако оперативно приостановить все финансовые переводы не удалось. Большая часть украденных средств была переведена на несколько десятков карт крупнейших банков России и сразу же обналичена сообщниками хакеров — мулами, привлекаемыми к финальному этапу вывода денег из банкоматов», — говорится в отчете Group-IB.

Несмотря на попытки преступников скрыть следы преступления, киберкриминалисты Group-IB смогли пошагово отследить все их действия и установить использованные инструменты.

Выяснилось также, что злоумышленники оставили на серверах ряд так называемых реверсшеллов (reverse shell), программ, которые подключались к серверам, контролируемым злоумышленниками, и ожидали новых команд. Очевидно, хакеры планировали вернуться «за добавкой». Но все эти программы были вычищены из сети банка.

Carbanak не виноват

Примечательно, что ранее глава Сбербанка Герман Греф заявил, что атаку на ПИР банк совершила группировка Carbanak. Эксперты Group-IB опровергают эту информацию, но отмечают, что группа MoneyTaker ничуть не менее опасна и что, помимо денег, злоумышленников часто интересует документация о системах межбанковских платежей, которая затем используется для подготовки дальнейших атак.

«Совершенно очевидно, что мы имеем дело с международной группировкой, которая имеет достаточные ресурсы для проведения весьма масштабных операций, включающих найм “денежных мулов” по всему миру, — считает Дмитрий Гвоздев, генеральный директор компании “Информационные технологии будущего”. — Пока трудно сказать, действует ли группировка MoneyTaker, исходя из исключительно финансовых интересов, или, как это становится модным в последнее время, преследует также какие-то политические цели, но для жертв их атак это и не так важно. Важнее — быть готовыми противостоять подобным атакам. От целевой атаки сложно защититься, но нужно хотя бы соблюдать правила гигиены информбезопасности — отслеживать собственный парк устройств и новости о выявленных в них уязвимостях, включая zeroday, и минимизировать количество возможных “точек входа” за счет своевременного обновления прошивок, создания патчей для маршрутизаторов и других устройств интернета вещей.

Роман Георгиев