Федеральное бюро расследований (ФБР) США проводит расследование взлома системы компьютерной безопасности американской Citigroup, обернувшейся кражей сотен миллионов долларов, к которой может быть причастна группа российских хакеров, пишет The Wall Street Journal, ссылаясь на представителей в правительстве. Целью преступников стало подразделение Citibank, включающее розничный банк в Северной Америке и ряд других бизнесов группы. Пока не удалось узнать, получили хакеры доступ к системе Citibank напрямую или через третьих лиц.
Эта же группа хакеров атаковала еще две организации, одна из которых — госучреждение,
заявил источник The Wall Street Journal, знакомый с делом Citibank.
Факт атаки на Citibank был обнаружен летом этого года, однако следователи не исключают, что нападение могло произойти за несколько месяцев до этого или даже годом ранее. По словам информированного источника, ФБР и Агентство национальной безопасности совместно с Министерством национальной безопасности и Citigroup обменивались информацией, чтобы противостоять атаке. Пресс-службы федеральных агентств отказались от комментариев, пишет The Wall Street Journal. Однако известно, что сначала американские следователи обнаружили подозрительный интернет-трафик с адресов, которые ранее использовала the Russian Business Network — российская группа, продававшая хакерские инструменты и программы для взлома компьютерных систем правительства США. Два года назад группа ушла в тень, однако, по словам экспертов, ее бывшие участники начали работать в хакерских группах меньшего размера.
«У нас не было никаких взломов системы, не было никаких потерь ни для клиентов, ни для банка», — заявил управляющий директор службы безопасности и расследований Citigroup Джо Петро. Позже он добавил, что любые заявления о том, что ФБР расследует дело Citigroup об убытках на десятки миллионов, являются неправдой.
Американские банки обычно неохотно раскрывают факт хакерских атак из страха потерять клиентов. По этой части у Citibank уже есть опыт, полученный в 1994 году, когда он обнаружил, что русский хакер украл более $10 млн с клиентских счетов особо крупных вкладчиков. Citibank тогда заявил, что он в состоянии добиться возвращения денег и что атаки не подвергают риску вложения клиентов.
Самыми распространёнными кибер-преступлениями в глобальной сети являются: фишинг (выманивание конфиденциальных данных с помощью подложных писем и подложных сайтов); похищение паролей и иной ценной информации при помощи троянских программ; рассылка спама (в том числе писем с вредоносными программами); DOS-атаки (атаки типа «отказ в обслуживании»); кардинг (несанкционированные транзакции по чужим банковским картам); нарушение авторских прав на программы, фильмы, фонограммы и другой контент.
Одним из способов отъема денег у населения является рассылка клиентам банков так называемых «жучков» в виде обычных писем. С их помощью преступники пытаются разузнать информацию о паролях от электронных счетов добропорядочных клиентов. Долгое время подобные послания не давали спокойно жить клиентам Postbank (Германия). Лишь после установки специальной системы, позволяющей проводить операции без собственноручного ввода номера транзакции, эта проблема была устранена. Два года назад служба информационной безопасности Райффайзен Банка Аваль на Украине выявила специально разработанную программу, которая наносила вред клиентам банка — пользователям услуги Клиет-Банк. Программная закладка (троян) просила клиента указать путь к файлу с хранилищем тайных ключей клиента, выбрать ключ из хранилища, ввести пароль доступа к нему и, якобы, провести синхронизацию с банком. При выполнении клиентом предлагаемых действий программа копировала тайный ключ клиента и его пароль, а затем передавала эту информацию злоумышленникам.
Существует много примеров, когда спам-атаки приводили в бездействие сайты компаний. Так, в 2006 году спамер из Молдавии смог нарушить работу одного из лидеров поискового сегмента интернета – компании Google. Что касается настоящего времени, то одна из наиболее заметных спам-атак произошла 4 июля 2009 года. Тогда в США киберпреступники напали на сайты Белого дома, Нью-йоркской фондовой биржи и торговой площадки Nasdaq. За несколько дней до этого аналогичной атаке подверглись южнокорейские сайты. Согласно данным производителя антивирусных средств McAfee, оба нападения были совершены сетью из 50 тыс. компьютеров, отправивших на указанные адреса такое количество спам-сообщений, что их системы оказались перегружены.
Из последних новинок криминального мира можно назвать функцию автообновления для вредоносных программ, говорит Федотов. Первыми до автоматизированных обновлений додумались производители антивирусов. У «Линуксов» такая функция появилась лет шесть-семь назад, у «Виндоуз» – года три. Теперь автообновление стали применять и вирусы с троянами.
«Инцидент связан с атакой на торговую сеть 7-eleven, которая произошла летом 2008 года», — говорит руководитель глобального центра исследований «Лаборатории Касперского» Александр Гостев. Данная торговая сеть использовала банкоматы Citibank, который обеспечивал их работу с технической точки зрения, хотя при этом они являлись собственностью 7-eleven. «Хакерам удалось получить доступ к платежной системе 7-eleven через уязвимость: то есть они не использовали вредоносную программу, а получили доступ к конфиденциальной информации - номерам кредитных карт пользователей 7-eleven - через брешь . Далее они работали с так называемыми дропами - людьми, которые получали либо уже готовые поддельные карты, либо инструкции, о том, как их изготовить. После чего дропы, используя эти кредитные карты, снимали деньги в банкоматах», — говорит Гостев.
Это не первый случай, когда в хакерстве подозревают русских.
В прошлом месяце прокурор в Антанте назвал восемь хакеров (предположительно, связанных с Россией и Восточной Европой), большая часть которых подозревается во взломе американского подразделения Royal Bank of Scotland (RBS) в 2008 году и краже $9 млн из банкоматов в 280 городах по всему миру, что заняло всего несколько часов. Впрочем, RBS сотрудничала со следователями и заверила, что потери ее клиентам возместят.
Доказать причастность киберпреступника к какой-либо стране очень сложно, возражают российские эксперты.
«Территориальное расположение и подданство атакующего — это обычно последнее, что выясняется в ходе расследования кибератак, иногда даже позже, чем личность подозреваемого.
Сразу после атаки о злоумышленниках известно немного: тип используемого ими программного средства и IP-адрес (адреса), с которых пришли вредоносные пакеты», — говорит главный аналитик компании InfoWatch, специализирующейся на системах по защите данных от утечек, Николай Федотов. По его словам, не только профессиональный киберпреступник, но даже экстремист-любитель не станет действовать с собственного IP-адреса, выданного ему провайдером. Для анонимизации используются чужие (заранее взломанные) сервера-посредники, часто целая цепочка посредников. Взломанные сети (ботнеты) из зараженных персональных компьютеров применяются как для массовых DOS-атак, так и для анонимизации.
«Совершенно очевидно, что национальная принадлежность того IP-адреса, с которого «пришла» атака, ничего не значит.
Принадлежность ботнета тоже, поскольку операторы этих зомби-сетей сдают их в аренду, чем, собственно, и живут», — добавляет Федотов.
В данном случае, как и во многих других, речь идет о простом передергивании фактов в идеологических целях, говорят российские эксперты. «Заметив IP-адрес из России или признаки ботнета, который ранее кто-то ассоциировал с русскими, предвзятый комментатор уверенно пишет: «русские хакеры». Это идеологическая атака на Россию», — резюмирует Федотов.
На совершение преступлений людей толкает экономический финансовый кризис, который вызвал сокращение числа занятых в реальной экономике и снижение уровня их дохода, говорят российские эксперты. С другой стороны, в условиях кризиса и дефицита ликвидности в ряде банков обострились проблемы, связанные с обеспечением безопасности, добавляет аналитик ИК «Финам» Татьяна Менькова.
Убытки по онлайн-преступлениям всех видов только в Америке превысят прошлогодние $260 млн,
прогнозирует ФБР. По данным Verizon Business, в 2008 году особенно усилились атаки на сектор финансовых услуг: их доля в отраслях, которые подверглись взлому баз данных, увеличилась до 30% (с 14% в 2004–2007 годах). По словам бывшего директора департамента компьютерной безопасности Белого дома Мелиссы Хэтэуэй, атаки на корпорации находятся на «эпидемическом уровне».
В России киберпреступлений пока меньше, чем в Америке, уверены отечественные эксперты. «Наши наблюдения показывают, что количество киберпреступлений, как по количеству, так и по величине украденных сумм, растёт примерно с той же скоростью, что и оборот сетевой торговли», – говорит главный аналитик компании InfoWatch Николай Федотов. Киберпреступники идут туда, где деньги.
«В российском сегменте интернета денег обращается меньше. Соответственно ниже и количество ценных данных в компьютерах пользователей. Поэтому и мошенничеств меньше. Русские хакеры работают в основном «на экспорт»,
то есть против западных ресурсов», – говорит Федотов. По данным МВД, подразделениями К, которые противодействуют киберпреступлениям, за 9 месяцев 2009 года было возбуждено 5983 уголовных дела, что на 33,4% превышает прошлогодний уровень. «Подобная динамика будет продемонстрирована и по итогам 2009 года», – говорит Менькова.
