Коротко


Подробно

Фото: Интерпресс / ТАСС

Жадность хакеров сгубила

«Глобэкс» остановил вывод средств через SWIFT

Газета "Коммерсантъ" от , стр. 8

Уникальная атака на банк «Глобэкс», в рамках которой средства выводились через систему SWIFT, удалась лишь отчасти. Из 55 млн руб. которые пытались похитить злоумышленники, вывести удалось менее 10%. По информации “Ъ”, в банке смогли оперативно заметить действия мошенников и остановить трансакции, обратив внимание на крупные суммы операций — в среднем более 3 млн руб., в том числе валютных. Эксперты предупреждают, что заметить и остановить атаку — лишь первый шаг, для решения проблемы необходимо провести анализ всех систем и устранить риски повторного проникновения хакеров.


О деталях недавней хакерской атаки на «Глобэкс» “Ъ” рассказали источники, знакомые с ситуацией. По их словам, хакеры пытались вывести из банка около 55 млн руб., однако удалось провести операции на сумму около $100 тыс. «В банке достаточно оперативно обратили внимание на проблему в том числе благодаря жадности хакеров,— отмечает источник “Ъ”, знакомый с ситуацией.— Злоумышленники выводили средства крупными суммами, всего было совершено около полутора десятка трансакций, большая часть которых была заблокирована». Привлек внимание и тот факт, что проводились валютные операции, добавляет собеседник “Ъ”.

Официально в банке не комментируют детали атаки. Там лишь сообщили, что попытка атаки была на прошлой неделе, «денежные средства клиентов не пострадали».

Однако источник “Ъ” в «Глобэксе», знакомый с ситуацией в банке, рассказал, что атака осуществлялась в течение нескольких месяцев путем внедрения нового вредоносного ПО, не выявляемого антивирусными средствами банка.

«Но завершающая фаза атаки — отправка хакерами платежных сообщений по сети SWIFT — была своевременно выявлена и остановлена»,— указывает собеседник “Ъ”. По его словам, после этого в сотрудничестве со SWIFT и «Лабораторией Касперского» были оперативно проведены мероприятия по устранению последствий атаки и удалению вредоносного ПО, внедрены новые специализированные решения по защите от хакерских атак.

Уникальность данной атаки заключалась в том, что в рамках нее впервые в России для вывода средств была использована международная межбанковская система передачи информации и совершения платежей SWIFT. «В последние два года мы стали свидетелями того, как злоумышленники целенаправленно атаковали SWIFT — основополагающий компонент финансовой экосистемы,— отмечает ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов.— В результате действий преступников ранее пострадали банки более чем в десяти странах мира. "Глобэкс" стал первым банком в России, где была задетектирована комплексная целевая атака, при которой использовались совершенно новые техники и образцы вредоносного ПО, позволившие в итоге осуществить несанкционированные переводы через систему SWIFT». Наши эксперты продолжают исследовать этот инцидент, добавил он.

Несмотря на то что атаку удалось выявить и предотвратить вывод существенной части средств, расслабляться рано, отмечают эксперты. В ассоциации «Россвифт» не исключают возможности проникновения в систему SWIFT (см. “Ъ” от 19 декабря). Учитывая это, на первом этапе необходимо максимально изолировать внутренние банковские системы от SWIFT.

«Необходимо создание воздушного зазора между системами передачи информации и корпоративной сетью»,— говорит директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков.

Так называемый воздушный зазор — это отключение от основной сети банка системы SWIFT, чтобы вся информация на компьютер, подключенный к SWIFT, передавалась, например, через флешку.

Впрочем, изоляция SWIFT лишь первый шаг. К атаке на банк причастна преступная группировка Cobalt, от которой пострадали более 50 банков по всему миру. Группа известна тем, что нередко совершает повторные нападения на банки, оставляя в системах лазейки. По оценкам руководителя экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, в среднем работа по устранению последствий атаки занимает от трех дней до нескольких месяцев в случае большой территориально распределенной инфраструктуры. «Для предотвращения повторных атак банку необходимо провести полноценное расследование инцидента: выявить все скомпрометированные системы, досконально их изучить и убедиться в отсутствии backdoor, оставленных злоумышленниками, а также модифицировать инфраструктуру»,— продолжает он. По экспертным оценкам, лишь на приобретение необходимого оборудования банку может потребоваться не менее 50 млн руб.

Вероника Горячева, Ксения Дементьева


Комментарии

Наглядно

валютный прогноз

Профиль пользователя