В российской банковской сфере зарегистрирован беспрецедентный случай хакерской атаки — кредитная организация была взломана с помощью системы SWIFT и лишилась денежных средств. Есть основания полагать, что за кражей стоит известная группировка Cobalt, которая может активизироваться в преддверии новогодних праздников.
Российский банк подвергся атаке хакеров через SWIFT — международную межбанковскую систему передачи информации и совершения платежей. Такой вид атаки впервые происходит в России.Также сообщается, что злоумышленникам удалось получить доступ к денежным средствам банка и успешно вывести их за границу.
Беспрецедентная атака
Атака была совершена еще 15 декабря, при этом сумма ущерба пока не раскрывается. «Газета.Ru» связалась с экспертами компании Group-IB, которые имеют основания полагать, что к краже причастна хакерская группировка Cobalt — она считается одной из самых активных финансово-мотивированных преступных групп.
На это указывает характерный «почерк» злоумышленников — рассылка вредоносного программного обеспечения за несколько недель до атаки. Cobalt атакует банки по всему миру, среди их жертв — организации из России, Великобритании, Польши, Тайваня, Малайзии, Нидерландов и других стран.
На счету хакеров уже свыше 50 успешных краж, а средняя сумма хищения составляет 100 млн руб.
Эксперты по кибербезопасности отметили, что почтовые рассылки со зловредами от Cobalt фиксируются практически каждую неделю. В фишинговой письме спрятано вложение, замаскированное под банковский документ. При открытии этого письма загружается программа, блокировать которую с помощью стандартных средств защиты нельзя.
После этого хакеры свободно «гуляют» по внутренней сети и получают доступ к системе карточного процессинга или системе межбанковских переводов. В среднем на поиск уязвимостей, которые можно эксплуатировать, уходит от двух недель до полутора месяцев.
Первый случай атаки Cobalt в России был зарегистрирован в июне 2016 года — тогда хакеры пытались похитить деньги банка через его банкоматы. С тех пор они продолжают изобретать новые инструменты и технологии, которые успешно применяют в своих кибератаках.
Руководитель департамента киберразведки Group-IB Дмитрий Волков сообщил, что в конце 2017 года прошло сразу несколько успешных кибератак на банки через SWIFT в разных странах мира.
«Два года назад многие атаки произошли именно в новогодние праздники, когда на счетах скапливаются огромные суммы, а сотрудники безопасности и смежных подразделений уже находятся в отпусках и имеют ограниченные возможности по противодействию атакующим», — отметил эксперт.
Он добавил, что не исключены новые хищения со стороны Cobalt, которые могут случиться именно в новогодние каникулы.
Никто не в безопасности
Несмотря на то, что такой вид атаки стал первым в своем роде для России, хакеры уже давно совершают атаки с целью финансовой выгоды, используя систему SWIFT. В конце ноября текущего года представители из штаб-квартиры SWIFT в Брюсселе выпустили предупреждение для банков. В нем они подчеркивают возросшую угрозу со стороны хакеров, чьи атаки становятся все более совершенными и изощренными.
В 16-страничном отчете о существующей угрозе SWIFT призывает банки усилить меры безопасности, ссылаясь на то, что «ни одна система не может считаться безупречной или обладать полным иммунитетом против взломов».
В числе прочих жертвой атак с помощью системы SWIFT стал тайваньский Far Eastern International Bank, у которого было похищено $60 млн. Прежде чем служба безопасности банка успела среагировать, эта сумма уже была переведена на счета в США, Камбодже и Шри-Ланке.
Благодаря своевременным действиям Интерпола и межбанковским защитным механизмам, организации удалось вернуть почти все украденные денежные средства.
Самой же крупной кибератакой подобного толка считается нападение на банк в Бангладеш в марте 2016 года. Тогда хакеры пытались провернуть ограбление, похитив около миллиарда долларов с корсчетов организации. Большая часть операций была заблокирована, но $81 млн вернуть так и не удалось. Управляющий банка после этого инцидента подал в отставку.
Руководитель экспертного центра безопасности Positive Technologies Алексей Новиков сообщил, что подобные атаки, с которыми столкнулись международные банки, можно если не предотвратить, то по крайней мере выявить активность на ранней стадии и свести потери к минимуму.
Для этого организациям необходимо поддерживать защиту инфраструктуры в актуальном состоянии, своевременно обновляя ПО. Необходимо также проводить тренинги для сотрудников с целью повышения их осведомленности в вопросах информационной безопасности.
«Особенно важно не только тщательно следить за входящими письмами, включая вложенные файлы, но обращать внимание на исходящую почту и проводить ретроспективный анализ», — считает эксперт.
Все это в комплексе решается наличием ряда внедренных и правильно настроенных средств защиты, процессов, а самое главное ‒ квалифицированных специалистов, которые будут контролировать состояние защищенности компании и оперативно реагировать на инциденты.