Русские хакеры – гроза банкиров

Еще в 2013 году хакерским атакам подвергались в основном клиенты банков и коммерческие компании, но в последние годы кибер-преступники все чаще покушаются на средства самих кредитных учреждений. Как оказалось, защищены они слабо, а куш мошенникам падает немаленький – средняя хакерская кража у российских банков с июня 2015-го по май 2016 года составляла около 140 млн. рублей.

Аппетиты растут

По сообщению Центробанка, в прошлом году хакеры покушались на средства девяти кредитных организаций, пытаясь похитить в общей сложности 5 млрд. рублей, из них 2,2 млрд. рублей остались в руках преступников. По сведениям департамента киберразведки Group-IB, самые «удачливые» из них – хакерская группа Buhtrap, на которую пришлось две трети украденного. По мнению многих участников рынка, в том числе и Group-IB, Buhtrap стоит за самой крупной кражей в феврале 2016 года из столичного Металлинвестбанка. В течение всего лишь часа с корреспондентского счета банка было отправлено на сторонние счета 667 млн. рублей. Как рассказал зампредправления банка Михаил Окунев, взлом обнаружили сразу и задействовали механизмы защиты. Значительную часть похищенного удалось обнаружить, однако 200 млн. рублей пропали навсегда, так как были обналичены или переведены на другие счета. Через три месяца задержали 50 хакеров группы Buhtrap, которая еще в 2014 году специализировалась на компаниях, но уже в 2015-м полностью переключилась на ограбление банков.

В Group-IB считают, что суммы украденного со счетов российских банков в прошлом году больше, чем представляет ЦБ. С июня 2015-го по май 2016-го целевые атаки (когда жертва выбрана не случайно) принесли хакерам 2,5 млрд. рублей. И, судя по всему, суммы похищенного будут расти. К уровню 2013-14 годов прирост уже составил около 300%. Компания Positive Technologies, также расследующая киберпреступления, прогнозирует в 2017 году увеличение количества кибератак на треть.

Страусиная политика не поможет

Большинство российских банков предпочитают скрывать факты хакерских ограблений. Нет точных сведений, сколько было украдено у банков или их клиентов. Закон обязал банки делиться конфиденциальной информацией о кражах с Центробанком только в 2015 году. Но о широкой огласке речь, как правило, не идет, и Металлинвестбанк здесь, скорее, исключение. Между тем в США о подобных преступлениях банки не только обязаны докладывать регулятору, но и объявлять об этом публично. Иначе – крупный штраф.

Пока наши банки избегают говорить о кибератаках в публичном пространстве, хакеры становятся опытнее и наглее. Отказаться от столь крупной добычи, как счета банков, они не могут. Для сравнения: с прошлом году у физлиц через компьютеры хакеры похитили 6,4 млн. рублей, у юрлиц – 956 млн., у банков – 2,5 млрд. Через компьютеры и смартфоны обычных граждан действуют современные хакеры-«щипачи», но вот с  юридическими лицами и банками работает хакерская «элита». Представитель Positive Technologies Эльмар Набигаев уверен, что все коммерческие банки России (а их около 570-ти) хакеры уже прощупали и знают, какие из них защищены. К сожалению, многие из них, особенно в регионах, имеют слабую защиту. После того, как «петух клюнет», они меняют свою политику, и незащищенных банков становится меньше. Но в регионах количество банков становится меньше и просто по причине закрытия.

Кто-то уделяет защите больше внимания, кто-то меньше, но о 100-процентной гарантии от киберхищений, говорят специалисты, речи не идет. Есть еще и проблема нехватки финансирования: многие руководители банков в России и за ее пределами считают компьютерную преступность чем-то полумифическим. Гендиректор Group-IB Илья Сачков говорит, что даже в государственных учреждениях есть такие люди.

В 2015 году в Positive Technologies протестировали 17 компаний и банков на готовность к кибератакам. Результаты неутешительные: в 28% случаев удалось получить полный контроль над инфраструктурой организации, в каждом втором случае – над критически важной информацией. Всего же уязвимыми оказались 82% систем. Эльмар Набигаев сообщает, что и сегодня ситуация не изменилась. Исследования Positive Technologies подтверждают, что большинство хакерских атак показывали беспомощность защитных механизмов кредитных учреждений.

Уязвимы не банки, а человек

В России бюджет на кибербезопасность в 2017 году, несмотря на кризис, увеличился на 18%. Однако, по словам Эльмара Набигаева, многие банки закупают средства защиты «для галочки» - поставили и забыли. Между тем кибербезопасность – это процесс, в котором постоянно нужно совершенствоваться и обновляться. Зачастую сотрудники информационной безопасности скрывают проблемы от своего руководства. Они боятся, что им резонно возразят: деньги выделены, где результат? Доходило до того, что сотрудники были предупреждены о готовящейся атаке, но их бездействие из-за страха перед начальством приводило к хищениям. И такая ситуация далеко не редкость. Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов подтверждает, что большинство атак происходит «по глупости, недосмотру, случайно». Для обслуживания кибербезопасности нужно не только оборудование, но и профессиональный персонал, а его мало и стоит он дорого – не каждый банк может себе это позволить. Более того, нехватку грамотных оперативников испытывают и правоохранительные органы, которые могли бы грамотно квалифицировать эпизоды хищений и довести эту информацию до прокуроров и суда.

Атака на банк превращается прежде всего в атаку на человека. Преступники сначала проникают в компьютер банковского служащего, получают доступ к локальным сетям. Потом получают права администратора, что позволяет им добраться до систем, отвечающим за трансакции: терминалы, межбанковские переводы, SWIFT и др.

Так, скорее всего, и произошла кража в Металлинвестбанке, где корпоративная сеть и платежные терминалы были соединены.

Чаще всего злоумышленники проникают в компьютер служащих банка через электронную почту путем рассылки вирусных писем. С помощью вирусов хакеры получают пароли администратора сети. Вредоносные программы могут встраиваться и в сайты новостных или специализированных изданий. Посетитель сайтов получает троян, который выясняет, связан ли этот конкретный компьютер с банком. И если злоумышленнику повезет и это будет компьютер бухгалтера или банковского служащего, а антивирусник у него будет стоять плохой – то хищения не избежать. 

Проникнув в сеть банка, хакеры крадут деньги и из банкоматов. В таком случае они работают вместе с «обналичниками» - сообщниками, которые снимают деньги по удаленной команде хакера. Таким образом можно обналичить довольно большую сумму, потому что инкассация терминалов происходит не каждый день. Эксперты Group-IB говорят, что по такой схеме действует хакерская группа Cobalt. Она атаковала банкоматы не только в России, но и в странах Евросоюза, Грузии, Молдавии, Киргизии, Армении и др.

Преступники нового типа

Сегодня грабить банки в маске и с пистолетом – не актуально. Нынешние воры выходят из вчерашних «ботаников» с пятерками по информатике.

По сведениям Group-IB, против российских банков работают русскоязычные хакерские группировки, среди них Anunak, Corkow, Buhtrap, Lurk. Какие-то из них приостановили деятельность, часть хакеров были задержаны. Сергей Голованов из «Лаборатории Касперского» говорит, что молодых образованных ребят с техническим образованием влечет в подобные группы легкие деньги – не работая «на дядю» за мизерную зарплату, они могут, обогатиться, занимаясь написанием программ, и при этом иметь гламурный имидж. Правда, те, кто пишет программы, как правило, не участвуют в самом ограблении. Большинство преступников пользуются уже готовыми наработками, которые есть в свободном доступе. На последнем этапе – обналичивание – хакеры вынуждены обращаться к сообщникам. Таким образом, они связаны с ОПГ.

Сергей Голованов говорит, что киберпреступники, которые занимаются кражей денег, сегодня сконцентрированы в двух географических зонах – Россия и страны СНГ, а также Бразилия. Вредоносные программы в основном пишут русскоговорящие специалисты, но они не обязательно живут в России. С русскоязычными хакерами связаны 16 из 19-ти самых известных банковских троянских вирусов. Преступники, как правило, обладают высоким интеллектом и не заморачиваются нравственными вопросами. Возможно, это выходцы из потерянного поколения 90-х годов. Стали появляться даже небольшие IT-компании, которые «изготавливают» необходимые для киберкраж инструменты.

Самый знаменитый хакер – 30-летний Дмитрий Федотов, который не участвовал в хищениях, но своими программами обеспечил 40% заражений по всему миру. Несмотря на свой IQ, попался программист довольно нелепо: разъезжал по Тольятти на единственном в городе белом «Кайене». В 2016 году был осужден на семь лет. 

Хакерская экспансия начинается

В 2016 году хакерское сообщество получило несколько брешей: помимо членов группы Buhtrap, правоохранители задержали разработчиков банковского трояна Lurk. По данным «Лаборатоии Касперского», с помощью последнего за последние пять лет было похищено около 3 млрд. рублей. После того, как их засекли на родине, российские и украинские хакеры стали переориентироваться на зарубежные «поляны». Они уже вовсю переключились на администрирование инновации последнего времени – ботнетов, в которые вовлекаются устройства «интернета вещей». Это умные холодильники, телевизоры и другие бытовые устройства.

Уже сформирован соответствующий рынок услуг. По словам технического директора компании Trend Micro Михаила Кондрашина, русскоязычный хакерский андеграунд появился еще в 2004 году. Киберпреступникам даже не нужно особенно напрягаться: заказал подходящего поставщика или услугу – и реализуй задуманное.

В Group-IB также согласны с тем, что, приобретя опыт на внутреннем рынке, русскоязычные хакеры будут завоевывать новые регионы мира.