Хакерская группировка успешно атаковала корсчет банка в ЦБ впервые с 2018 года
Такие хищения сейчас маловероятны, но возможны
Впервые за три года специалисты компании в области кибербезопасности Group-IB выявили успешную атаку на систему межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России). Об этом говорится в новом отчете компании, посвященном анализу актуальных киберугроз для банков и финансовых организаций за второе полугодие 2020 г. – первое полугодие 2021 г. На какой именно банк была совершена атака и сумму хищения в Group-IB не раскрывают, но представитель компании уточнил «Ведомостям», что это была крупнейшая сумма за последние годы, выведенная таким путем.
Представитель Банка России подтвердил, что регулятору известно об инциденте и по итогам разбора его причин до участников информационного обмена «доведен соответствующий информационный бюллетень ФинЦЕРТ».
Система АРМ КБР позволяет банкам проводить платежи с ЦБ через открытые у него корсчета. Мошенникам удалось подделать часть файлов, когда банк отправлял платежи в ЦБ, в результате средства с корсчета банка осели на счетах злоумышленников.
Изучив тактики, техники и процедуры киберпреступников, эксперты Group-IB пришли к выводу, что за атакой стояла русскоязычная хакерская группировка MoneyTaker, участников которой до сих пор не удалось раскрыть. В 2016–2019 гг. группа атаковала АРМ КБР и системы карточного процессинга в Великобритании, Гонконге, США, на Украине и в России. В России за все время хакеры совершили пять атак на банки и одну – на юридическую фирму. Основной целью атак группы в России была система межбанковских переводов АРМ КБР. Средний размер ущерба от одного инцидента составил 72 млн руб., сообщали в Group-IB, хотя часть денег пострадавшим банкам удалось вернуть. Общая сумма финансовых потерь превысила $3 млн.
Согласно новому отчету, в феврале 2021 г. специалистов лаборатории компьютерной криминалистики Group-IB привлек один российский банк расследовать инцидент, в ходе которого атакующие смогли получить доступ к системе межбанковских переводов АРМ КБР. Расследование показало, что атаку хакеры начали еще в июне 2020 г. через компрометацию аффилированной с банком компании. В течение месяца атакующие получили доступ к сети банка, а в последующие шесть месяцев исследовали ее. Уже в январе 2021 г. атакующие приступили к финальной фазе атаки – они зарегистрировали доменные имена, схожие с названием банка, в феврале похитили цифровые ключи, а позже использовали их для подписания платежей, проходящих через Банк России. После этого они вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР. В конце атаки злоумышленники стерли почти все следы своего присутствия.
Еще в 2015 г. атак на банки через АРМ КБР было гораздо больше. За год с февраля 2015 г. преступные группы 26 раз атаковали АРМ КБР разных банков и 20 из этих атак были успешными, писали «Ведомости». В частности, было известно о похищенных 700 млн руб. с корсчета Металлинвестбанка в ЦБ. Последний раз успешные атаки на АМР КБР банков были в 2018 г. Одной из жертв оказался мелкий ПИР-банк, с корсчета в ЦБ банка вывели 56 млн руб., сообщал «Коммерсантъ».
Совладелец компании RuSIEM Максим Степченков сообщил «Ведомостям», что АРМ КБР сейчас достаточно защищенная система, но атака на нее вполне реальна и возможна: хотя ЦБ выдвигает высокие требования по информационной безопасности и выполнение их всех минимизирует риски, но, естественно, не создает идеальной защиты.
В банках даже из топ-100 такое хищение на тот момент (июнь 2020 г. – февраль 2021 г.) было уже маловероятно, потому что система защиты у них к тому времени была выстроена в соответствии с требованиями регулятора к обеспечению контроля целостности АРМ КБР, сказал собеседник «Ведомостей», знакомый с принципами работы системы. По его словам, в соответствии с требованиями ЦБ АРМ КБР используется в режиме контроля входящих и исходящих сообщений, что сводит риск совершения подобных хищений к минимуму. Но если злоумышленники похитили сами ключи подписи сообщений, система контроля разграничения доступа не сработает, сообщил он.
Сотрудники службы безопасности банков также согласны с тем, что сейчас похитить деньги через систему обмена сообщений с ЦБ трудно. После 2015 г., когда впервые были зафиксированы подобные атаки, они перестали быть неожиданными для банков, уделяющих приоритетное внимание своей информационной безопасности, отмечает директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. ЦБ уделяет особое внимание составлению и контролю исполнения требований по защите информации для АРМ КБР в кредитно-финансовых организациях, поэтому при выполнении банками всех требований ЦБ риск реализации атак на систему межбанковских переводов минимален, добавляет представитель Газпромбанка.