Вопросы кибербезопасности, предотвращения различного рода мошеннических действий в отношении банков и их клиентов сохраняют свою актуальность и продолжают оставаться в центре внимания государственных структур, частных организаций, компаний, специализирующихся на борьбе с хакерами. Возрастает роль международного сотрудничества в сфере информационной безопасности. 

Вирусы во всемирной паутине

Всемирная паутина – это уникальное явление нашей эпохи, преимущества и выгоды которого неоспоримы. Одновременно сеть интернет – это очень агрессивная среда, в которой живет и может распространяться огромное количество разных по своему предназначению вредоносных программ, созданных руками человека. Например, существуют хорошо известные вирусы-шифровальщики и вирусы-вымогатели, главной задачей которых является ограничение возможности доступа пользователя к важной для него информации (либо при помощи шифрования, либо иными способами) и последующее получение вознаграждения за возможное восстановление доступа.

Специфика вируса-шифровальщика заключается в том, что он кодирует данные, до которых может «дотянуться», используя права работающего пользователя. Затем он требует выкуп за их расшифровку, но зачастую она невозможна или не будет осуществлена, даже если выкуп уплачен, что означает, по сути, уничтожение данных.

 Вирусы-вымогатели, такие как нашумевшие в прошлом году Petya и WannaCry, опасны и для физических лиц, и для организаций, так как практически безвозвратно уничтожают данные. Нет сомнений, что для любых организаций, а особенно банков, потеря данных на критически важных серверах или рабочих станциях может иметь серьезнейшие последствия, вплоть до приостановки деятельности. При этом, например, конкретно вирус Petya.A использовал очень схожую с ранее прогремевшей атакой WannaCry уязвимость – модификацию EternalBlue. В данном случае организации, корректно и оперативно отреагировавшие на атаку WannaCry и закрывшие эту уязвимость, были защищены и от Petya.A. 

В прошлом году эксперты констатировали, что практически все российские банки продемонстрировали хороший уровень выполнения «плана действий» по недопущению повторения атаки.
В настоящее время злоумышленники используют вредоносное программное обеспечение прежде всего для того, чтобы заработать, получить материальную выгоду. Поэтому успешная атака с его использованием почти всегда несет определенный ущерб для компании, который может выражаться в прямых финансовых убытках для организации или носить косвенный характер (временное прерывание бизнес-процесса, затраты на восстановление и т.п.). Поэтому игнорировать угрозу, исходящую от успешных атак вирусов-вымогателей, конечно, нельзя.

По словам банковских экспертов, их финансовые структуры уделяют значительное внимание развитию технологий и способов защиты своих информационных ресурсов и активов. Кроме того, финансово-кредитным организациям существенную помощь оказывает Банк России, который информирует о возможных способах минимизации конкретных рисков, связанных с ИБ. Совокупность указанных факторов, а также определенный уровень зрелости процессов и осознание важности реализации политики безопасности в финансово-кредитных организациях позволяют противостоять вновь возникающим угрозам, подчеркивают эксперты.

МТС присоединилась к взаимодействию с FinCERT

Большое внимание сейчас уделяется взаимодействию различных структур в целях борьбы с нарастающими кибер­угрозами. Так, в конце мая текущего года МТС и Банк России объявили о подписании соглашения о сотрудничестве в сфере информационной безопасности и противодействия компьютерным атакам. Оно предусматривает информационное и организационное взаимодействие, направленное на предупреждение, выявление и пресечение правонарушений в финансовой сфере и в национальной платежной системе России, а также повышение уровня информационной безопасности сторон. МТС и Банк России будут сотрудничать через структурное подразделение Главного управления безопасности и защиты информации Банка России – Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT). 

«Мобильные финансовые и банковские сервисы становятся все более популярными. Одновременно совершенствуются и методы злоумышленников, целью которых являются деньги и данные финансовых организаций и их клиентов. На фоне растущих киберрисков подписанное соглашение с Банком России приобретает особую значимость. Взаимодействие с FinCERT ускорит выявление уязвимостей и вредоносного ПО, а также реагирование на угрозы, что оградит наших абонентов от возможных потерь. В свою очередь МТС, активно развивая услуги финтеха и информационной безопасности, благодаря своим компетенциям сможет внести вклад в повышение защищенности национальной платежной системы», – отметил директор департамента информационной безопасности МТС Игорь Ходюков. 

«Операторы связи играют важную роль на рынке финансовых услуг, сотрудничая с банками и другими финансовыми организациями. Учитывая важность задачи борьбы с киберпреступностью в этой сфере, мы приветствуем присоединение МТС к информационному обмену с FinCERT для противодействия компьютерным атакам в кредитно-финансовой сфере. Для этого необходимо тесное взаимодействие всех участников финансовой сферы, телеком- и ИТ-отрасли: банков, платежных систем, интеграторов, разработчиков антивирусного ПО, провайдеров, операторов связи, регуляторов и правоохранительных органов», – отметил заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев. 

Главная проблема – обеспечение киберсуверенитета

Вопросам информационной безопасности уделяется большое внимание на всех уровнях, в том числе на государственном и международном. 

Так, 6 июня 2018 года в рамках Х Международного IT-Форума прошла Международная конференция по информационной безопасности с участием стран БРИКС, ШОС, ОДКБ и других государств «Инфофорум-Югра». 

«Проблема информационной безопасности широко обсуждается, развитие цифровой экономики имеет приоритетное и стратегическое значение. Все чаще взламываются информационные системы банков, транспортных компаний, органов государственной власти. В России разработана стратегия информационной безопасности до 2020 года. Как отметил президент России Владимир Путин, наша страна должна стать не только ключевым логистическим центром планеты, но и коммуникационным узлом. К 2024 году в планах увеличить внутренние затраты на развитие цифровой экономики, создать устойчивую безопасную структуру хранения данных, использовать преимущественно отечественное программное обеспечение. В Центральном федеральном округе созданы комиссии по информационной безопасности, аналогичные структуры есть и в других регионах», – отметил в ходе своего выступления первый заместитель председателя комитета Государственной Думы ФС РФ по безопасности и противодействию коррупции Эрнест Валеев.

Создатель китайского файервола, председатель Ассоциации облачной безопасности (CSA) Китая Фан Бинь Син в своем докладе рассказал, с помощью каких механизмов в Китае соблюдается гарантия безопасности общедоступной сети интернет и важных информационных систем страны. «Главная проблема – обеспечение киберсуверенитета. У нас было выработано 20 рекомендаций по его созданию еще в 2014 году. Мы должны обращать внимание на все, что происходит в сети, обеспечивать ее «здоровье». У нас есть 4 базовых права: право на управление киберсредой, на самозащиту – это то, что касается борьбы с атаками. Третье – это сотрудничество. Киберпространство является сообществом общей судьбы, соответственно, мы все заинтересованы в том, чтобы пользование сетями было полезным и выгодным для всех, для каждой страны. Четвертое – независимость, чтобы каждое государство могло гарантировать себе защиту от вмешательства в дела страны».

 Председатель Совета директоров Агентства кибербезопасности Малайзии (Министерство науки, технологий и инноваций) генерал Тан Шри Дато Сери Панглима Мохд Азуми Бин Мохамед продолжил тему сохранения суверенитета. «Международное бюро телекоммуникаций говорило о том, что в 2016 году 1% всех электронных сообщений был злонамеренными атаками. Большое количество этих атак было проведено с участием СМИ. Критическая структура – центр для кибератак. Делает ли международное сообщество достаточно для укрепления доверия? Вот какой вопрос стоит сегодня перед нами».

Новый отчет от компании Group-IB

Безусловно, укрепление международного сотрудничества играет очень важную роль в борьбе с киберпреступностью, поскольку последняя, как правило, носит международный характер. Ярким примером является деятельность хакерской группы Cobalt и ее недавно обнаружившиеся связи с другими киберпреступными группировками.

29 мая текущего года международная компания Group-IB, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, обнародовала новый подробный отчет, раскрывающий преступления хакерской группы Cobalt в отношении банков и других организаций во всем мире. Последние на данный момент целевые атаки группы были проведены 23 и 28 мая. Ее целями стали банки в России, странах СНГ и предположительно зарубежные финансовые организации. Фишинговые письма, используемые Cobalt, рассылались от имени крупного антивирусного вендора.

По данным Европола, хакеры Cobalt похитили свыше 1 млрд евро. Согласно исследованию Group-IB, только в одном из инцидентов в европейском банке Cobalt попытались вывести 25 млн евро. 
В новом отчете «Cobalt: эволюция и совместные операции» эксперты Threat Intelligence Group-IB впервые приводят уникальные доказательства связи Cobalt и группы Anunak (Carbanak), анализируют их совместные атаки и используемые инструменты для взлома систем SWIFT, карточного процессинга, платежных шлюзов. Предположительно в новой майской атаке группы также действовали вместе.

Подробности новых атак Cobalt

23 мая эксперты Threat Intelligence зафиксировали новую масштабную кибератаку хакерской группы Cobalt на ведущие банки России и СНГ. Несмотря на арест лидера группы в Испании, о чем стало известно 26 марта этого года, оставшиеся члены группы вновь проверили на прочность защиту финансовых учреждений. Примечательно, что последние атаки в России были 5 месяцев назад, в декабре 2017 года.

Согласно информации Group-IB, первая волна фишинговой рассылки была зафиксирована 23 мая в 13:21 по московскому времени. Впервые в практике Cobalt фишинговые письма были отправлены от имени крупного антивирусного вендора. Пользователь получил «жалобу» на английском языке о том, что с его компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Ему предлагалось ознакомиться с вложенным письмом и предоставить детальные объяснения. Если ответ не поступал в течение 48 часов, «антивирусная компания» угрожала наложить санкции на веб-ресурсы получателя. Для того чтобы скачать письмо, необходимо было перейти по ссылке, что приводило к заражению компьютера сотрудника банка.

Провести атрибуцию и подтвердить, что рассылка – дело рук Cobalt, не составило труда: в атаке была задействована уникальная троянская программа Coblnt, использовавшаяся группой с декабря 2017 года, сообщается в отчете. Почтовая рассылка шла с домена kaspersky-corporate.com, который показал прямую связь с лицом, на которое были ранее зарегистрированы домены для атак Cobalt.
28 мая около 13:00 по московскому времени была зафиксирована свежая вредоносная рассылка Cobalt. Письмо от имени Европейского центрального банка с ящика v.constancio@ecb-europa[.]info было разослано по финансово-кредитным организациям. В нем содержалась ссылка на документ 67972318.doc, якобы описывающий финансовые риски. Файл 67972318.doc – документ Word, эксплуатирующий уязвимость CVE-2017-11882. В результате открытия эксплоита и успешной эксплуатации уязвимости происходит заражение и первичное «закрепление» вредоносной программы в системе банка с помощью  загрузчика JS-backdoor, уникальной разработки Cobalt.

В Group-IB не исключают, что жертвами этих кибератак могли быть не только банки России и СНГ: оба письма составлены на английском языке, что говорит о возможных целях в иностранных банках. Снова качество фишинговых писем оценивается экспертами компании как высокое. Например, в атаке 23 мая текст на английском языке стилизован под юридическую жалобу, а поддельный сайт kaspersky-corporate.com также отличался более высоким уровнем качества, что не характерно для Cobalt. Эти и другие признаки вновь указывали на вероятность проведения оставшимися на свободе членами группы Cobalt совместной операции с другими преступными группами, в частности Anunak, подчеркивается в отчете. 

«Группа Cobalt по-прежнему активна: ее участники не прекращают атаковать финансовые и другие организации во всем мире. Мы убеждены в том, что коллаборация Cobalt и Anunak, позволившая этим группам установить своего рода антирекорды в части реализации наиболее сложных атак, завершившихся выводом сотен миллионов долларов, еще не исчерпала себя. Для того чтобы дать возможность бизнесу и регуляторам рынка принять превентивные меры против действий этих преступников, мы публикуем технические индикаторы для защиты от фишинга, для идентификации инфраструктуры и методов, до сих пор используемых этими преступниками», – отметил CTO Group-IB Дмитрий Волков.

Все, что вы хотели знать о Cobalt, но боялись спросить

«Cobalt: эволюция и совместные операции» на данный момент является самым масштабным и детальным отчетом на международном рынке, позволяющим проследить этапы становления одной из самых агрессивных русскоговорящих хакерских групп в мире, нанесшей финансовый ущерб банкам и другим организациям в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Казахстане, Армении, Тайване, Малайзии и в других государствах.

Эксперты Group-IB включили в свое исследование наиболее крупные и значимые атаки в истории Cobalt, которые были изучены в рамках анализа тактики и инструментов группы с момента ее появления. 

Так, впервые хищения через SWIFT группа Cobalt совершила весной 2016 года в банке Гонконга, затем на Украине. Миллионы долларов, похищенные в обоих случаях, требовали не только технологической подготовки, но и серьезных контактов с обнальщиками, которые могли бы пропустить через себя крупные суммы, выведенные через SWIFT. Эти и другие факторы позволяли предположить, что, скорее всего, они действовали не одни.

После украинского эпизода атаки с использованием системы межбанковских переводов резко прекратились. 

Группа Cobalt переключилась на значительно более простые и безопасные для мулов (лиц, привлекаемых для обналичивания) взломы банков через карточный процессинг и банкоматы. Первым большим самостоятельным успехом Cobalt стал First Bank на Тайване. В ходе атаки на банкоматы хакерам удалось похитить 2,18 млн долларов. В сентябре 2016 они сумели получить доступ в один из банков Казахстана. Процесс подготовки атаки и изучения инфраструктуры банка занял 2 месяца. В ноябре они успешно похитили около 600 тысяч долларов через карточный процессинг, после чего поставили такие атаки на поток. Уже в 2017 году, используя этот метод хищения, хакеры Cobalt установили абсолютный «рекорд» и предприняли попытку похитить 25 млн евро в одном из европейских банков.

Лишь через 1,5 года Cobalt рискнет атаковать SWIFT снова. Именно тогда в декабре 2017 года произойдет атака через SWIFT в российском банке, ставшая первым подобным прецедентом в истории отечественной банковской индустрии.

Все это время Cobalt отличает высокая динамика и плотность атак, говорится в исследовании Group-IB. Хакеры постоянно тестировали новые инструменты и способы хищений. Помимо банков, в поле зрения хакеров попадали и другие организации. Так, в феврале 2017 года эксперты Group-IB фиксируют успешный взлом системного интегратора, которого Сobalt использует как «посредника» для проведения атак на компании в России, Казахстане, Молдавии, а также их представительства в других странах. В течение последующих 9 месяцев Сobalt получат доступ минимум в 4 аналогичных компании: по одной в Украине и США, а также двум компаниям в России.

Согласно отчету Group-IB, в хронологии атак Cobalt встречаются и другие нетипичные «жертвы». В марте 2017 года они «ломают» компанию, предоставляющую электронные кошельки и терминалы оплаты, похищая деньги через платежный шлюз. Тогда в Group-IB зафиксировали фишинговую рассылку якобы от Moneta.ru, системы проведения моментальных платежей в интернете. Это была целенаправленная рассылка по компаниям, предоставляющим электронные кошельки и терминалы оплаты. Ее целями стали 4 компании в России и 4 на Украине. Таким способом атакующим удалось вывести более 2 млн долларов.

В сентябре жертвой стал разработчик ПО для платежных терминалов. Эта атака позволила подтвердить гипотезу о коллаборации с Anunak. Именно здесь специалисты Group-IB увидят цифровые следы сразу двух хакерских команд и окончательно подтвердят связь двух групп. 

Далее Cobalt продолжает экспериментировать, переключаясь на страховые агентства и СМИ. Группа получает контроль над почтовыми серверами или учетными записями этих организаций для последующего использования их инфраструктуры в атаках на банки.

В прошлом году Cobalt находит команду разработчиков, которые создают и тестируют новые инструменты по заказу группы, говорится в отчете Group-IB. В частности, с целью вывода из строя банковской сети хакеры использовали модификацию известного во всем мире вируса-шифровальщика Petya. Она выполнена на низкоуровневом С, что свидетельствует о высокой технологической подготовке авторов. С начала 2018 года Cobalt готовится к новым атакам: эксперты Threat Intelligence Group-IB фиксируют непрекращающиеся фишинговые рассылки, характерные для группы. Так, с 7 по 10 марта письма рассылались с доменов ibm-cert.com, ibm-warning.com, ibm-notice.com. Затем 15 марта была зафиксирована новая рассылка. В качестве сервера управления использовался домен dns-verifon.com, эксплуатировавший бренд компании VeriFon – крупнейшего вендора POS-терминалов. А через 11 дней, 26 марта, в СМИ появляется сообщение об аресте русскоговорящего лидера группы в испанском городе Аликанте. Но и в этот день рассылки продолжаются.

26 марта письма рассылали от имени компании Spamhaus, некоммерческой организации, специализирующейся на борьбе со спамом. Для этой рассылки атакующие зарегистрировали очень похожий домен spamhuas.com. Следующая рассылка произойдет 3 апреля: атака зафиксирована со скомпрометированного почтового сервера шведской компании, сообщается в отчете Group-IB «Cobalt: эволюция и совместные операции». 

ESET: троян BackSwap нашел новый способ кражи средств с банковских счетов

Другие компании, специализирующиеся на борьбе с хакерами, также с определенной периодичностью сообщают о выявлении того или иного способа хищения денег из банковских организаций. Так, 5 июня 2018 года компания ESET сообщила об обнаружении трояна, использующего новый способ кражи средств с банковских счетов. BackSwap работает с элементами графического интерфейса Windows и имитирует нажатие клавиш, чтобы избежать детектирования и обойти защиту браузера.

«Чтобы получить доступ к счету жертвы, обычные трояны внедряют в процессы браузера вредоносный код. С его помощью троян отслеживает посещение сайтов интернет-банков, чтобы затем изменить НТТР-трафик или перенаправить жертву на фишинговый сайт. Это сложная задача, поскольку антивирусные продукты и защитные механизмы браузера распознают такое внедрение кода. Кроме того, вирусописатели вынуждены разрабатывать свою схему атаки для каждой версии браузера и менять тактику с выходом новой версии.

Авторы BackSwap избавились от этой проблемы тривиальным, но эффективным способом, – сообщается в релизе компании ESET. – Троян не внедряет код в процессы браузера. Вместо этого он «узнает», когда пользователь заходит в онлайн-банк, с помощью событий Windows в цикле ожидания сообщений. Обнаружив работу с интернет-банком, троян внедряет вредоносный код в веб-страницу через консоль разработчика в браузере или в адресную строку. Так, чтобы внедрить скрипт в адресную строку, BackSwap имитирует нажатие комбинаций клавиш: CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. Когда процесс завершен, адресная строка очищается, чтобы скрыть следы компрометации».
Простая на первый взгляд схема позволяет обходить продвинутые механизмы защиты от комплексных атак, подчеркивают в ESET.

BackSwap поддерживает атаки на Google Chrome и Mozilla Firefox, в последних версиях появилась поддержка Internet Explorer. Метод подходит для большинства браузеров с консолью разработчика или возможностью выполнения кода JavaScript из адресной строки (это стандартные функции браузера). Троян не требует специальных привилегий в системе и не зависит от версии браузера.
«BackSwap доказывает, что в противостоянии между индустрией безопасности и вирусописателями не всегда нужна новая сложная техника и тактика, – комментирует Михал Послушны, вирусный аналитик ESET. – Браузеры усиливают защиту от внедрения кода, поэтому авторы малвари переходят к другим схемам атак, и в BackSwap реализована только одна из них».

В настоящее время BackSwap используется в атаках на пользователей пяти польских банков: PKO Bank Polski, Bank Zachodni WBK S.A., mBank, ING и Pekao. Его «интересуют» переводы крупных сумм – от 10 до 20 тысяч польских злотых (168-337 тысяч рублей).

Список потенциальных жертв может быть расширен, а новый способ обхода защитных механизмов – использован другими кибергруппами, считают в компании ESET.

Чтобы не заразиться

Злоумышленники постоянно предпринимают попытки взлома киберзащиты организаций. Чтобы оградить свой бизнес, необходимо предпринимать конкретные шаги, которые помогут предотвратить заражение этими вирусами. Эксперты советуют следовать нескольким простым правилам. 

Во-первых, для защиты от последствий действий подобных вирусов необходимо регулярно создавать резервные копии всей критически важной информации на внешних носителях, недоступные для пользователей. Как правило, в банковской сфере это мощные enterprise-системы и библиотеки с лентами. Однако важно регулярно проводить проверки корректного выполнения процесса и тестовое восстановление данных.

Во-вторых, нужно своевременно и без каких-либо исключений применять обновления операционных систем и прикладных программ. Показателен пример WannaCry. Атака была в мае 2017 года, а закрывающий ее патч Microsoft выпустила в марте. Все, кто вовремя поставил обновление, были защищены.

В-третьих, важно повышать уровень осведомленности пользователей. Нужно постоянно обучать персонал тому, как выявлять фишинговые письма и как на них реагировать. Всегда найдется неустраненная уязвимость, которая не закрыта патчем. Но бдительный работник не откроет полученное сомнительное письмо, и банк останется защищенным. Любой сотрудник должен понимать, что найденная возле офиса флешка ни в коем случае не может быть вставлена в рабочий компьютер. Это азы безопасности.

Наконец, необходима настройка и поддержка технических систем защиты. Это и фильтрация интернет-страниц, и обновление антивируса и сигнатур систем предотвращения вторжений, и запрет на запуск неизвестных исполняемых файлов, и другие элементы эшелонированной защиты.

Существует также ряд отраслевых стандартов и лучших практик, где все наиболее эффективные способы и методы защиты банков от подобных вирусов описаны очень хорошо. И если им корректно следовать, 95% атак встретят противодействие. 

Можно резюмировать, что для защиты бизнеса требуется комплексный подход, а эффективность применяемых подходов к защите от указанных угроз определяется общей зрелостью процессов обеспечения ИБ в организации, применением эшелонированной защиты информационных активов, степенью выполнения требований отраслевых стандартов и законодательных актов РФ.