Как российские и украинские хакеры украли миллиард

«Газета.Ru» выяснила, как именно хакеры похитили миллиард

100%

Группа хакеров из России и Украины похитила около миллиарда рублей. Среди пострадавших оказались банки и финансовые учреждения России и всего мира.

Криминальная группировка, которую в «Лаборатории Касперского» назвали Carbanak, использовала приемы, характерные для адресных атак, однако в отличие от многих других инцидентов преступники получили доступ не к счетам клиентов, а напрямую к IT-системам банков.

Первые инциденты, связанные с деятельностью Carbanak, датируются началом 2013 года. За два года деятельность киберпреступников затронула около 100 финансовых организаций по всему миру. Эксперты «Лаборатории Касперского» полагают, что за Carbanak стоит международная группировка хакеров из России, Украины, ряда других европейских стран, а также Китая.

«Впервые мы узнали о Carbanak в конце 2013 года, когда украинский банк обратился к нам с просьбой о помощи в проведении криминалистического расследования. Кто-то таинственным образом крал деньги из банкоматов.

Тогда мы расценили этот инцидент как рядовую вредоносную атаку. Однако несколько месяцев спустя с похожей проблемой к нам обратился один из российских банков — одна из систем банка выдавала предупреждение об отправке данных с контроллера домена в Китайскую Народную Республику. Мы обнаружили в системе вредоносное ПО и написали пакетный скрипт для удаления вредоносной программы с зараженных компьютеров. Естественно, мы сохранили вредоносные образцы — благодаря им мы и познакомились с Carbanak», — сообщил «Газете.Ru» антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин.

Наиболее крупные суммы денег похищались в процессе вторжения в банковские сети. За каждый такой рейд киберпреступники крали до $10 млн. В среднем на ограбление одного банка — от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей — уходило от двух до четырех месяцев.

Проникновение в банк начиналось с компьютеров кого-то из сотрудников организации посредством фишинговых приемов. После заражения машины вредоносным ПО злоумышленники получали доступ к внутренней сети банка, находили компьютеры администраторов систем денежных транзакций и начинали видеонаблюдение за их экранами. Таким образом Carbanak узнавали о всех нюансах в работе персонала банка и могли имитировать привычные действия сотрудников при переводе денег на свои счета.

Как именно банда Carbanak похищала деньги

1. Киберпреступники использовали онлайн-банкинг и платежные системы для перевода денег со счета банка на свой собственный. Мошеннические счета были открыты в банках Китая и Америки, однако эксперты не исключают, что преступники также могли хранить украденные деньги в банках других стран. 2. В некоторых случаях злоумышленники проникали в системы бухгалтерского учета и при помощи мошеннических транзакций «раздували» баланс средств на счете. Например, преступники узнавали, что на счете хранилась

тыc., тогда они увеличивали баланс до тыс., а затем переводили тыс. себе. Владелец счета в этом случае ничего не замечал, поскольку имевшаяся изначально тысяча долларов по-прежнему была на месте. 3. Помимо всего прочего, киберграбители получали контроль над банкоматами и активировали команды на выдачу наличных в установленное время. После этого кто-нибудь из членов банды забирал деньги.

«Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные. Это действительно очень профессиональное ограбление», — пояснил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Руководитель департамента предотвращения угроз и расследований инцидентов компании Group-IB Дмитрий Волков рассказал «Газете.Ru», что в докладе «Лаборатории Касперского» речь скорее всего идет о той же криминальной группе хакеров, о которой Group-IB совместно с компанией Fox-IT сообщали в декабрьском докладе.

«Мы назвали эту группу Anunak, и наше расследование касалось хищения денежных средств из российских и некоторых украинских финансовых учреждений. Подтвержденная сумма хищений составляет 1 млрд рублей.

Нам удалось раскрыть механизм деятельности этой группировки, и мы передали результаты нашего расследования в российские правоохранительные органы. С Интерполом и Европолом мы не связывались, поскольку преступления совершались в России и на Украине, а пострадавшие были в основном российскими гражданами и организациями, — сообщил Волков и добавил: — Пока никого из организаторов Anunak задержать не удалось. Это связано со сложностью построения доказательной базы при подобных преступлениях, а также с тем, что, по нашим сведениям, члены Anunak проживают в странах, с которыми у России нет договора о выдаче преступников».

В «Лаборатории Касперского» также подтвердили «Газете.Ru», что группировка по-прежнему активно действует, и призвали все финансовые организации тщательно проверить свои компьютерные сети.

По мнению Ложкина, столь долгая и успешная деятельность хакеров, как это ни парадоксально звучит, связана с тем, что в банках стоят очень серьезные и продвинутые системы безопасности, с уникальной IT-инфраструктурой и специальным ПО, разработанным индивидуально для каждого банка.

«Представители службы безопасности банков были уверены, что только «инсайдер» может совершить кражу денег, используя внутреннюю сеть банка. Никто не ожидал подобной атаки извне. Киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным, ведь хакерам даже не пришлось взламывать банковские сервисы», — говорит эксперт.