Без оружия и отмычек: как миллионы долларов утекают через интернет

«RT» на русском – russian.rt.com 04.12.2016, 17:57

В последнее время Центробанки разных стран и более мелкие финансовые институты оказались одной из основных мишеней хакеров — таким образом киберпреступники не только срывают джекпот, выводя со счетов миллионы долларов, но и оказывают давление на целые страны. Какие громкие хакерские атаки были совершены в мире в 2016 году, как в России противодействуют преступникам и что может интересовать хакеров помимо денег, — в материале RT.

Агентство денежного обращения Саудовской Аравии

В ряде СМИ появилась информация о хакерской атаке на Центробанк Саудовской Аравии. Несмотря на то что Агентство денежного обращения королевства, выполняющее в стране функцию финансового регулятора, выпустило пресс-релиз, в котором заявило, что в его системы хакерам проникнуть не удалось, источники Bloomberg сообщили, что «цифровая бомба» всё-таки нанесла урон банковской системе Эр-Рияда.

Также стало известно, что компьютерные системы семи государственных служб Саудовской Аравии были повреждены программой Shamoon, впервые замеченной специалистами по безопасности в 2012 году.

Программа извлекает из заражённого компьютера определённые файлы, передаёт хакерам, а затем стирает их. После этого Shamoon удаляет главную загрузочную запись компьютера, делая его непригодным к использованию. Агентство денежного обращения Саудовской Аравии управляет валютными резервами, работой коммерческих кредитных организаций и системой электронных платежей страны.

Напомним, что вирус Shamoon уже использовался в 2012 году для атаки на национальную нефтяную компанию Saudi Aramco, в результате которой было уничтожено 35 тыс. компьютеров. Тогда официальные лица США обвинили в атаке иранских хакеров.

Центробанк Бангладеш

В феврале 2016 года хакерам удалось похитить $101 млн со счетов Центрального банка Бангладеш, которые были размещены в Федеральном резервном банке Нью-Йорка.

Получив доступ к системе SWIFT под видом руководящих сотрудников, хакеры провели пять операций, с помощью которых со счетов ЦБ Бангладеш $20 млн вывели в Шри-Ланку и ещё $81 млн — на Филиппины. Банку в Нью-Йорке удалось вовремя заблокировать ещё 30 переводов на общую сумму в $850 млн.

• Reuters

Как сообщает в своём докладе, посвящённом киберпреступности, разведывательно-аналитическая компания Startfor, хорошо спланированная операция по взлому ЦБ Бангладеш свидетельствует о том, что к этому, вероятно, была причастна Северная Корея, преследовавшая две цели: заработать деньги и причинить вред банковской системе Запада.

Атака на банк Valartis в Лихтенштейне

Заложниками хакеров становились и такие крупные финансовые учреждения с международным капиталом, как, например, китайский банк Valartis, расположенный в Лихтенштейне. Преступникам удалось получить данные о счетах его вкладчиков, которые они угрожали предать огласке, если клиенты не заплатят по 10% от суммы вклада.

Представитель китайской управляющей компании Citychamp заявил, что злоумышленникам не удалось получить доступ к данным. При этом хакеры назвали окончательную дату выкупа — 7 декабря. Издание Business Insider сообщает, что среди клиентов банка много представителей элиты Германии, в том числе видных политиков, актёров и бизнесменов.

После сообщения о хакерской атаке акции Citychamp на бирже Гонконга упали на 12%.

Кибератаки на российские банки летом 2016 года

31 августа 2016 года международная система банковских расчётов SWIFT сообщила, что зафиксировала кибератаки, направленные против российских банков. Тогда, по данным СМИ, которые цитируют источники в Центробанке, со счетов было похищено около €2 млн.

В начале декабря ФСБ предупредила о подготовке масштабных кибератак с целью дестабилизации финансовой системы России. Банк России вскоре после этого заявления опроверг информацию о краже хакерами 2 млрд рублей с счетов ЦБ, о которой сообщила американская телекомпания CNN.

К системе SWIFT в России подключены более 600 банков. Из-за конфликта на Украине в 2014 году ряд глав МИД стран Запада призвали отключить Россию от системы в рамках санкционных мер, однако эта инициатива так и не была реализована. Несмотря на это, Центробанк РФ предоставил банкам альтернативную систему передачи данных с использованием свободного формата сообщений ED-501.

Готовность Банка России

Глава ЦБ России Эльвира Набиуллина заявила, что регулятор готов помочь российским банкам в отражении хакерских атак.

• РИА Новости

«Такие атаки уже бывали, главное — чтобы банковское сообщество подготовилось отразить эти атаки. Для этого у нас специально создан центр в Центральном банке — FinCERT называется, — который и получает информацию, и помогает банкам готовиться к такого рода атакам», — приводит слова Набиуллиной РИА Новости.

По данным ЦБ, в период с 1 января по 1 декабря 2016 года было зафиксировано 23 мастшабных попытки хищения средств в различных кредитных организациях России.

Замглавы Минфина России Алексей Моисеев назвал глупостью планы по дестабилизации российской банковской системы с помощью подобных операций.

«Мы считаем, что банки в целом очень хорошо подготовлены. <…> Но в случае необходимости ЦБ и Казначейство России предоставят дополнительную ликвидность. Так что всё это полная глупость», — заявил Моисеев.

Заключение экспертов

Генеральный директор компании RuCERT Дмитрий Финогенов рассказал RT, что не всегда целью подобных хакерских вылазок являются лёгкие деньги.

«Вопрос о целях кибератак сейчас открыт и активно обсуждается в интернет-сообществе. Большинство считает, что конечной целью всегда являются деньги, но я бы не исключал возможность того, что с помощью таких массированных DDoS-атак решаются и какие-то другие, частные вопросы, требующие проникновения в эти системы», — заключил эксперт.

В комментарии для RT генеральный директор компании Zecurion Алексей Раевский подтвердил, что подобные атаки могут быть частью так называемой гибридной войны, которую различные государства ведут друг против друга без вхождения в «горячую» фазу боевых действий.

«Атаки на государственные банки, возможно, действительно являются элементами кибервойны, причём в двух измерениях. Первое — это попытка похищения денег и причинение материального ущерба, а второе — это информационная война. Ведь можно в этом действии обвинить и тех, против кого мы в настоящее время дружим», — пояснил Раевский.

Гендиректор Zecurion добавил, что уязвимость банковских систем к подобным атакам была бы намного ниже, если бы эту проблему стали воспринимать всерьёз гораздо раньше.

«Что касается борьбы со взломами, такие средства, конечно, есть. Но из-за того что эта опасность раньше оценивалась не совсем адекватно, эти средства недостаточно широко и правильно применялись. Если служба информационной безопасности нормально работает, то вероятность таких атак будет существенно снижена, а их последствия будут гораздо менее серьёзными», — заключил эксперт.

Александр Карпов

fritzmorgen.livejournal.com 04.12.2016 12:36

F.A.Q. по завтрашней кибератаке на Россию

Завтра, 5 декабря, ожидается мощнейшая хакерская атака на нашу банковскую систему. Официальное предупреждение есть на сайте ФСБ: «получена информация о подготовке иностранными спецслужбами в период с 5 декабря 2016 года масштабных кибератак с целью дестабилизации финансовой системы Российской Федерации, в том числе деятельности ряда крупнейших российских банков»  ^[1].

Вот мои мысли вслух. Особо отмечу, что никакого инсайда у меня нет, рассматривайте текст ниже исключительно как мои оценочные суждения о происходящем.

В.: Стоит ли отнестись серьёзно к предупреждению ФСБ?

О.: Да. Во-первых, у ФСБ есть конкретная информация о проводящейся диверсии: кто будет атаковать, откуда, какими инструментами, какие объекты. Во-вторых, артподготовка к атаке уже началась. CNN вбросил вчера утку, заявив, что со счетов ЦБ якобы украли 2 миллиарда рублей  ^[2].

Цель вброса понятна — после начала хакерской атаки ЦБ наверняка выступит с успокоительными заявлениями, сообщит публике, что всё под контролем. Если заранее распространить через крупные СМИ слухи, что и сам ЦБ пострадал от хакеров, верить ему будут меньше.

В.: Кто стоит за этой атакой?

О.: ФСБ пишет уклончиво, «иностранные спецслужбы». Вместе с тем понятно, что это был слонёнок... скорее всего, американская АНБ. Давайте рассуждать логически.

Во-первых, ни одной крупной стране, кроме американцев, атаковать Россию не нужно. Во-вторых, американцы в начале ноября официально пообещали провести кибератаку на Россию в том случае, если Россия вмешается в ход выборов  ^[3].

На выборах победил агент Путина, Дональд Трамп. Теперь американцам самое время исполнить угрозу и напасть на Россию.

В.: Почему Дональд Трамп не отменил эту атаку, когда выиграл выборы?

О.: Для начала, он не наш друг. Дональду Трампу глубоко безразлично, будут у нас проблемы или нет, его волнуют только интересы США. Ядерной бомбой Америку мы в ответ на эту кибератаку не хлопнем, остальное его мало волнует.

Кроме того, спецслужбу АНБ, которая отвечает за проведение такого рода атак, контролирует проигравшая на выборах в США сторона. У Дональда Трампа просто нет возможности отдавать АНБ приказы.

В.: Есть ли у США техническая возможность осуществить мощную хакерскую атаку?

О.: Однозначно. Лаборатория Касперского и другие организации регулярно находят шпионские программы от АНБ в обычном оборудовании типа стандартных жёстких дисков  ^[4].

Арсенал АНБ огромен, у этой спецслужбы есть возможность влезть практически в любой компьютер и любой смартфон  ^[5].

Уничтожать инфраструктуру АНБ тоже умеет. Несколько лет назад американцы при помощи червя Stuxnet испортили Ирану почти тысячи центрифуг, приостановив тем самым на некоторое время его мирную ядерную программу  ^[6].

Также нет ничего экзотического в сопровождении хакерских атак сообщениями в СМИ и блогосфере. Тут американцы признанные мастера.

В.: Сейчас, когда тайное стало явным, может быть, враги отменят атаку?

О.: Смотрим на CNN. Статья об иностранных хакерах, готовых атаковать русские банки, выходит 2 декабря в 15:26  ^[7].

Утка о похищении со счетов ЦБ 2 млрд рублей выходит 3 декабря в 11:35, через 20 часов после статьи о предупреждении ФСБ  ^[8].

Как видим, у организаторов было 20 часов, чтобы отменить публикацию вброса, однако её не отменили... возможно, не будут отменять и основную, намеченную на 5 декабря атаку.

В.: Смогут ли «иностранные спецслужбы» основательно нагадить нам теперь, когда мы готовы к их действиям?

О.: Вряд ли. Службы безопасности банков приведены в боевую готовность, отечественные спецслужбы также держат пальцы на кнопках, готовясь ловить и отключать хакеров.

Задидосить процессинговые центры, отключив тем самым на несколько часов часть банкоматов, вероятно, хакеры смогут. Пошатнуть банковскую систему, устроить панику на рынке? Маловероятно.

Русский народ, знаете ли, вообще не особо склонен к панике. Пока гром не грянет, мужик не перекрестится — паническими эсэмэс его с дивана не поднимешь. Да и не факт, что получится порассылать панические эсэмэски в условиях, когда все сотовые операторы уже готовы отщёлкивать массовые рассылки с характерными ключевыми словами.

С другой стороны, в ходе атаки американцы засветят кучу ценной информации, дискредитируют своих агентов, дадут нам возможность серьёзно улучшить защиту от следующих атак. Я бы на их месте атаку отменил однозначно, смысла в ней уже нет.

В.: Зачем же тогда ФСБ предупредило о готовящейся атаке? Почему нельзя было устроить засаду на диверсантов? Ведь теперь они действительно могут затаиться до следующего раза, и повторить атаку, скажем, через пару месяцев...

О.: У информационных войн свои законы. Никто не стал бы слушать ни ЦБ, ни ФСБ, ни ещё кого бы то ни было после начала атаки. Реакция почтенной публики была бы однозначной: растратили бюджетные денежки, довели банковскую систему до ручки, теперь выдумывают каких-то нелепых хакеров.

На это наложились бы возгласы многочисленных врагов ЦБ, которых у него в России предостаточно, и которые не ленятся пинать его при любой возможности. В общем, противостоять информационной волне было бы очень непросто.

В.: Что конкретно могут предпринять вражеские хакеры?

О.: Всех возможностей АНБ я не знаю — да и никто не знает. Однако судя по тому, что далеко не все атаки американцев оказывались удачными, и по тому, что даже не самые технологически продвинутые страны (Иран, КНДР) от этих атак с переменным успехом отбивались, можно предположить, что ничего сверхъестественного мы не увидим.

План атаки может быть, например, таким:

1. Отключение через уязвимости и дидос-атаки процессинговых центров, остановка работы некоторых банкоматов и отделений банков.
2. Распространение через эсэмэс и мусорные блоги панических сообщений о тотальном крахе банковской системы, массовом отзыве лицензий у банков и тому подобном.
3. Раздувание паники через крупнейшие СМИ, как западные, так и российские.
4. Натравливание толп вкладчиков на «разоряющиеся» банки, призывы срочно снимать все деньги со счетов.
5. Скоординированные усилия спекулянтов по атаке на рубль.

Полагаю, если атака таки состоится, уже на втором пункте план забуксует. Каналы распространения паники засвечены, передушить их не составит труда.

В.: Что делать обычному гражданину в этой ситуации?

О.: Сохранять спокойствие. Быть готовым к тому, что в понедельник платежи по картам могут не проходить, а банкоматы — не работать. Если я правильно оцениваю ситуацию, максимум ко вторнику всё закончится и вернётся на круги своя.

Повторюсь, наш народ весьма беспечен. Раздувать панику в условиях, когда все заранее знают об атаках и о готовящихся вбросах ложной информации, будет очень тяжело.

В.: Наше государство как-то выстраивает защиту от хакерских атак?

О.: А то! Например, появляется свободное от американских закладок отечественное компьютерное оборудование, которое привыкшим к лёгкой работе вражеским хакерам уже не по зубам. Вот, к примеру, из свежего.

1. МВД закупает российские компьютеры «Таволга» на процессоре «Байкал-Т1»  ^[9].

2. Российская компания NSG выпускает всё более мощные отечественные маршрутизаторы  ^[10].

Кстати, около трети банкоматов в России подключено именно через оборудование NSG.

3. Лаборатория Касперского выпустила собственную защищённую промышленную операционную систему  ^[11].

Эта система может устанавливаться на критически важных промышленных и инфраструктурных объектах. Система была разработана с нуля. Главный принцип её работы — «запрещено всё, что не разрешено».

Подведу итог

Пожалуй, я жду понедельника скорее с интересом, чем с тревогой. Если «иностранные спецслужбы» таки рискнут атаковать Россию, мы получим массу ценной информации о возможностях западных хакеров.

Ссылки