Хакеры атаковали крупный российский банк
Целью были не деньги, а внутренние данные
Специализирующаяся на коммерческом шпионаже и краже корпоративной документации хакерская группа RedCurl успешно атаковала российский крупный банк в мае 2023 г., говорится в техническом отчете F.A.С.С.T (бывшая Group-IB), который есть в распоряжении «Ведомостей». Представитель IT-компании на вопрос о том, что позволило судить об успешности атаки, ответил лаконично. Целью злоумышленников не было хищение денежных средств, они проникли в инфраструктуру банка через компанию-подрядчика для получения доступа ко внутренним документам, отметил он.
Хакеры пытались атаковать банк сначала напрямую сотрудников кредитной организации, а затем через подрядчика, говорится в отчете. Название банка не уточняется. В ноябре 2022 г. RedCurl разослали сотрудникам банка фишинговые письма с вредоносным программным обеспечением. Рассылку замаскировали под сообщения популярного российского маркетплейса, в которых получателю и членам его семьи обещали корпоративную скидку 25% на все товары. Но первая попытка не увенчалась успехом: система безопасности банка смогла обнаружить и заблокировать вредоносные письма до того, как они попали к адресатам.
После неудачи хакеры переключились на подрядчика банка – в мае 2023 г. они использовали тактику «атака на цепочку поставок» (supply chain attack). Этот тип кибератаки заключается в том, чтобы проникнуть в IT-инфраструктуру организации через сторонних поставщиков, система безопасности которых может быть менее защищенной. Вектор атаки RedCurl не известен, отмечается в отчете F.A.C.C.T., но предположительно она также была произведена через фишинговое письмо. Получив доступ к компьютеру сотрудника компании-подрядчика, злоумышленники оказались в общем сетевом файловом хранилище (доступ к нему есть и у банка, и у подрядчика по интернету или собственному защищенному каналу связи), содержащем большое количество финансовых документов клиента. В него хакеры внедрили вредоносные файлы, которые впоследствии, утверждается в отчете, запустил сотрудник банка, что и позволило попасть в его инфраструктуру.
Про атаку через поставщика стало известно лишь после того, как банк попросил провести реагирование на инцидент, – примерно через месяц после вторжения в сеть, рассказал «Ведомостям» генеральный директор F.A.C.C.T. Валерий Баулин. Он добавил, что при этом у компании нет подтверждения, что в итоге какие-то внутренние документы были украдены. Судя по прежним кейсам, RedCurl охотится за документами, представляющими коммерческую тайну и содержащими персональные данные сотрудников, уточнил Баулин.
В делах, связанных с кибершпионажем, довольно сложно подсчитать прямой материальный ущерб, говорит Баулин. Когда речь идет о промышленном шпионаже, т. е. хищении коммерческой информации, которая может быть использована в нечестной конкурентной борьбе между корпорациями и странами или при копировании изобретений, технологий, товаров, жертва может потерять не только свою интеллектуальную собственность, но и рынки сбыта, поясняет он. Другое дело, когда речь идет о краже финансовой и персональной информации, отмечает Баулин, тут прямой ущерб не столь очевиден. Может быть косвенный ущерб в виде переработок и простоя оборудования, говорит главный эксперт «Лаборатории Касперского» Сергей Голованов.
Необходимо учитывать и издержки компании на реагирование на инцидент, усиление киберзащиты инфраструктуры, ее аудит и т. д., добавляет Баулин. Обычно атакованному клиенту дается довольно обширный список рекомендаций, поясняет он: на что обратить внимание, какие решения поставить, какие услуги заказать – например, аудит сетевой инфраструктуры, веб-приложения, мобильного приложения.
Одним из известных случаев в России последних нескольких лет является успешная атака группировки MoneyTaker на систему межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России) в 2020–2021 гг. Тогда от действий хакеров пострадал банк не из первой сотни по объему активов, но злоумышленникам удалось украсть более 500 млн руб. Эта же группа стояла за атакой на «Пир банк» в 2018 г. – деньги также вывели через АРМ КБР.
Кто такие RedCurl
Группировка RedCurl, предположительно состоящая из русскоговорящих хакеров, раскрыта компанией F.A.С.С.T. в конце 2019 г., но действует она как минимум с 2018 г. Она проводит тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий собственной разработки. По данным F.A.C.C.T., за 4,5 года RedCurl атаковала 34 цели, 20 из них в России, остальные в Великобритании, Германии, Канаде, Норвегии, Австралии и на Украине. Жертвами оказывались строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации. С момента заражения до кражи данных RedCurl проводит в сети организации от двух до шести месяцев.
В 2022 г. российские банки столкнулись с колоссальным уровнем атак на свою инфраструктуру, но в основном это были DDoS-атаки, которые привели к проблемам в проведении платежей, сбоям в работе банковских приложений и системе уведомления клиентов.
Несмотря на существенный рост хакерских атак на банки в 2022 г., организации не понесли существенных потерь, говорил «Ведомостям» представитель Банка России в феврале. Регулятор выявил лишь единичные случаи хищений денежных средств у банков из-за уязвимостей объектов информатизации и несовершенства бизнес-процессов. Тогда председатель ЦБ Эльвира Набиуллина уточняла, что «потери есть, но они некрупные и никак не сказываются на финансовой устойчивости [банков]».