Банк России называет преступную группу Cobalt главной угрозой для российских банков — все прошедшие 11 успешных атак на российские банки с хищением более 1 млрд руб. приписывают ей. Мы следим за Cobalt с 2016 года — сейчас это действительно самая активная группировка, которая ворует деньги у банков по всему миру. Cobalt не знает каникул и выходных, действует весьма агрессивно, в связи с чем у некоторых «экспертов» появился соблазн «повесить» на нее все целевые атаки на банки. В том числе и совершенные другими преступными группировками.
Фото: из личного архива
Так, не меньшую угрозу для банков представляет группировка MoneyTaker, которая долгое время оставалась незамеченной, при этом всего за полтора года атаковала 20 банков и организаций по всему миру. Осенью 2017 года эксперты Group-IB первыми рассказали о деятельности MoneyTaker и индикаторах ее «работы», для того чтобы предупредить рынок об этой угрозе. Однако до сих пор мы слышим мнения, что все эти атаки — дело рук Cobalt.
Криминалисты Group-IB первыми выезжали к потерпевшим от Cobalt и MoneyTaker банкам. На протяжении ряда лет мы детально анализировали инструменты, цели, тактику обеих хакерских группировок, поэтому легко можем провести водораздел между ними и поставить точку в этих спорах.
Итак, MoneyTaker всегда стараются оставаться незамеченными, используют «одноразовую» инфраструктуру, «бестелесные» программы и тщательно заметают следы своего присутствия. Для того чтобы соединения с сервером управления не вызывали подозрений у служб безопасности банков, злоумышленники используют SSL-сертификаты (своего рода уникальная цифровая подпись сайта) с именами известных международных брендов, в том числе банковских. Группа Cobalt работает грубее: она никогда не создавала сертификаты для своих серверов управления или рассылок, они делают ставку на массовые атаки. Эти злоумышленники работают в промышленных масштабах, атакуя большое количество банков сразу, практически не подстраиваясь под конкретную жертву. Совсем другое дело хакеры из MoneyTaker, они работают индивидуально с каждым «клиентом» и вносят изменения в код программы «на лету» — прямо во время проведения атаки.
Кроме того, группировки используют разные пути вывода средств из банка. Восстанавливая картину преступлений, наша команда криминалистов отмечала, что группа Cobalt избегает компьютеров с АРМ КБР и предпочитает проводить атаки на банкоматы, платежные шлюзы, карточный процессинг и SWIFT. А вот MoneyTaker выводила деньги из российских банков, используя именно АРМ КБР. Логично предположить, что, имея в арсенале программу для совершения хищений через АРМ КБР, хакеры из Cobalt не игнорировали этот канал. Потенциально вывести через него можно в разы больше, что показывают атаки 2016 года.
Очевидно, что эта группировка представляет не меньшую угрозу, чем Cobalt. Именно поэтому мы выпустили открытый отчет о преступлениях MoneyTaker, а также дали рекомендации службам безопасности банков о том, как минимизировать опасность, которую представляет эта группа. Для масштабного информирования участников финансового рынка о потенциальных рисках и предупреждении вероятных атак на российские банки необходима работа в этом направлении со стороны регулятора. Предупрежден — значит вооружен, а наши банки в большинстве своем наслышаны о Cobalt, регулярно появляющейся в отчетах FinCERT, но, увы, не знают о других угрозах, а значит, находятся в зоне повышенного риска.