Кого слушает президент

Как российские и украинские хакеры украли миллиард

«Газета.Ru» выяснила, как именно хакеры похитили миллиард

Дмитрий Бевза 16.02.2015, 18:47
iStockphoto

Группа хакеров из России и Украины похитила около миллиарда рублей. Среди пострадавших оказались банки и финансовые учреждения России и всего мира.

Криминальная группировка, которую в «Лаборатории Касперского» назвали Carbanak, использовала приемы, характерные для адресных атак, однако в отличие от многих других инцидентов преступники получили доступ не к счетам клиентов, а напрямую к IT-системам банков.

Первые инциденты, связанные с деятельностью Carbanak, датируются началом 2013 года. За два года деятельность киберпреступников затронула около 100 финансовых организаций по всему миру. Эксперты «Лаборатории Касперского» полагают, что за Carbanak стоит международная группировка хакеров из России, Украины, ряда других европейских стран, а также Китая.

«Впервые мы узнали о Carbanak в конце 2013 года, когда украинский банк обратился к нам с просьбой о помощи в проведении криминалистического расследования. Кто-то таинственным образом крал деньги из банкоматов.

Тогда мы расценили этот инцидент как рядовую вредоносную атаку. Однако несколько месяцев спустя с похожей проблемой к нам обратился один из российских банков — одна из систем банка выдавала предупреждение об отправке данных с контроллера домена в Китайскую Народную Республику. Мы обнаружили в системе вредоносное ПО и написали пакетный скрипт для удаления вредоносной программы с зараженных компьютеров. Естественно, мы сохранили вредоносные образцы — благодаря им мы и познакомились с Carbanak», — сообщил «Газете.Ru» антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин.

Наиболее крупные суммы денег похищались в процессе вторжения в банковские сети. За каждый такой рейд киберпреступники крали до $10 млн. В среднем на ограбление одного банка — от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей — уходило от двух до четырех месяцев.

Проникновение в банк начиналось с компьютеров кого-то из сотрудников организации посредством фишинговых приемов. После заражения машины вредоносным ПО злоумышленники получали доступ к внутренней сети банка, находили компьютеры администраторов систем денежных транзакций и начинали видеонаблюдение за их экранами. Таким образом Carbanak узнавали о всех нюансах в работе персонала банка и могли имитировать привычные действия сотрудников при переводе денег на свои счета.

«Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные. Это действительно очень профессиональное ограбление», — пояснил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Руководитель департамента предотвращения угроз и расследований инцидентов компании Group-IB Дмитрий Волков рассказал «Газете.Ru», что в докладе «Лаборатории Касперского» речь скорее всего идет о той же криминальной группе хакеров, о которой Group-IB совместно с компанией Fox-IT сообщали в декабрьском докладе.

«Мы назвали эту группу Anunak, и наше расследование касалось хищения денежных средств из российских и некоторых украинских финансовых учреждений. Подтвержденная сумма хищений составляет 1 млрд рублей.

Нам удалось раскрыть механизм деятельности этой группировки, и мы передали результаты нашего расследования в российские правоохранительные органы. С Интерполом и Европолом мы не связывались, поскольку преступления совершались в России и на Украине, а пострадавшие были в основном российскими гражданами и организациями, — сообщил Волков и добавил: — Пока никого из организаторов Anunak задержать не удалось. Это связано со сложностью построения доказательной базы при подобных преступлениях, а также с тем, что, по нашим сведениям, члены Anunak проживают в странах, с которыми у России нет договора о выдаче преступников».

В «Лаборатории Касперского» также подтвердили «Газете.Ru», что группировка по-прежнему активно действует, и призвали все финансовые организации тщательно проверить свои компьютерные сети.

По мнению Ложкина, столь долгая и успешная деятельность хакеров, как это ни парадоксально звучит, связана с тем, что в банках стоят очень серьезные и продвинутые системы безопасности, с уникальной IT-инфраструктурой и специальным ПО, разработанным индивидуально для каждого банка.

«Представители службы безопасности банков были уверены, что только «инсайдер» может совершить кражу денег, используя внутреннюю сеть банка. Никто не ожидал подобной атаки извне. Киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным, ведь хакерам даже не пришлось взламывать банковские сервисы», — говорит эксперт.