Как стало известно “Ъ”, в России впервые осуществлена успешная атака на банк с выводом денег за рубеж через международную систему передачи финансовой информации SWIFT. По предварительным данным, к атаке причастна группировка Cobalt. В мире прецеденты кибератак с использованием SWIFT уже были. Но в данном случае слабым местом могла быть не SWIFT, а сам банк. Его название источники “Ъ” не раскрывают, но указывают, что недавняя проверка ЦБ показала проблемы с информационной безопасностью в атакованном банке.
О том, что 15 декабря была зафиксирована успешная кибератака на один из российских банков, сообщили “Ъ” специалисты по информационной безопасности и подтвердили в ЦБ. Особенность атаки в том, что денежные средства были выведены через SWIFT (международная межбанковская система передачи информации и совершения платежей), которую до сих пор хакеры в России не использовали. Название банка и размер ущерба не раскрываются.
Как сообщили “Ъ” в компании по предотвращению и расследованию киберпреступлений Group-IB, к атаке причастна группировка Cobalt. Проникновение в банк произошло через вредонос, который рассылался группировкой несколько недель назад по банкам, что характерно для Cobalt. В среднем промежуток от проникновения до вывода денег составляет три-четыре недели, средняя сумма хищения — 100 млн руб., уточнили в Group-IB.
FinCERT, структурное подразделение ЦБ по информбезопасности, в своем отчете назвал группу Cobalt главной угрозой для кредитных организаций. По данным Group-IB, на счету группировки не менее 50 успешных атак на банки по всему миру. К настоящему времени известно о более чем десяти успешных атаках в России, каждая из которых заканчивалась хищением денежных средств в особо крупном размере, сообщили в ЦБ.
Атака 15 декабря, по словам экспертов, отличается от уже привычных лишь способом вывода средств. Эксперты в области информационной безопасности до сих пор об использовании хакерами SWIFT при атаках на банки в РФ не слышали.
В мире такие хищения не редкость. Так, в феврале 2016 года хакеры получили доступ к аккаунтам сотрудников Центробанка Бангладеш и направили серию запросов на перевод денег. Средства списывались со счетов ЦБ в Федеральном резервном банке Нью-Йорка. Сотрудники ФРС одобрили некоторые трансакции — более $80 млн ушли на счета филиппинских казино. Лишь одна операция вызвала сомнения: в инструкции на перевод средств была ошибка в слове «фонд». После проверки выяснилось, что указанного получателя денег не существует. В апреле 2016 года SWIFT разослала 11 тыс. своих клиентов уведомления, сообщив, что было зафиксировано множество случаев, когда хакеры отправляли фиктивные платежные поручения, имитируя сообщения SWIFT. В мае 2016 года SWIFT сообщила о второй крупной кибератаке. Как заявила пресс-секретарь SWIFT Наташа де Теран, был атакован коммерческий банк, его названия и государственной принадлежности она не указала.
В SWIFT “Ъ” отказались комментировать «отдельных клиентов», но подчеркнули: «Мы очень серьезно относимся к кибербезопасности и изучаем все угрозы, принимая все соответствующие меры. Нет доказательств, что имел место какой-либо несанкционированный доступ к сетям SWIFT или ее службам обмена сообщениями». В российском случае SWIFT действительно не была именно объектом атаки. «Среднестатистический банк единовременно может быть подключен к пяти-шести различным системам — например, Национальной платежной системе, международным Visa, MasterCard, SWIFT и еще двум-трем системам денежных переводов,— отмечает директор по методологии стандартизации Positive Technologies Дмитрий Кузнецов.— И злоумышленники, проникая в инфраструктуру банка и получая доступ к любой из этих систем, выводят деньги». То есть, полагает он, по большому счету не идет речи о специфической атаке на SWIFT.
Это подтверждают и в ЦБ. Как пояснил “Ъ” замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев, в результате заражения банка злоумышленники фактически захватили управление им, то есть могли вывести средства любым способом. «Вероятно, SWIFT был выбран лишь потому, что был интересен вывод средств именно за рубеж. Деньги ушли в Европу, Азию, Америку,— отмечает он.— Видимо, обналичивание там злоумышленники сочли менее рискованным, чем в России». При этом, по данным “Ъ”, незадолго до атаки банк прошел проверку ЦБ, и ему были предъявлены определенные претензии по уровню информбезопасности, даны рекомендации. Однако о выполнении их ничего выяснить не удалось.
Как хакеры готовятся к Новому году
Об активизации киберпреступников сообщили 13 декабря одновременно ЦБ и Сбербанк. При этом в Сбербанке объясняют рост кибермошенничеств сезонностью, тогда как в ЦБ уверены: сезонность наблюдается только в атаках на сами банки, тренд же по хищению средств населения будет только нарастать.