Уникальная атака на банк «Глобэкс», в рамках которой средства выводились через систему SWIFT, удалась лишь отчасти. Из 55 млн руб. которые пытались похитить злоумышленники, вывести удалось менее 10%. По информации “Ъ”, в банке смогли оперативно заметить действия мошенников и остановить трансакции, обратив внимание на крупные суммы операций — в среднем более 3 млн руб., в том числе валютных. Эксперты предупреждают, что заметить и остановить атаку — лишь первый шаг, для решения проблемы необходимо провести анализ всех систем и устранить риски повторного проникновения хакеров.
О деталях недавней хакерской атаки на «Глобэкс» “Ъ” рассказали источники, знакомые с ситуацией. По их словам, хакеры пытались вывести из банка около 55 млн руб., однако удалось провести операции на сумму около $100 тыс. «В банке достаточно оперативно обратили внимание на проблему в том числе благодаря жадности хакеров,— отмечает источник “Ъ”, знакомый с ситуацией.— Злоумышленники выводили средства крупными суммами, всего было совершено около полутора десятка трансакций, большая часть которых была заблокирована». Привлек внимание и тот факт, что проводились валютные операции, добавляет собеседник “Ъ”.
Официально в банке не комментируют детали атаки. Там лишь сообщили, что попытка атаки была на прошлой неделе, «денежные средства клиентов не пострадали».
Однако источник “Ъ” в «Глобэксе», знакомый с ситуацией в банке, рассказал, что атака осуществлялась в течение нескольких месяцев путем внедрения нового вредоносного ПО, не выявляемого антивирусными средствами банка.
«Но завершающая фаза атаки — отправка хакерами платежных сообщений по сети SWIFT — была своевременно выявлена и остановлена»,— указывает собеседник “Ъ”. По его словам, после этого в сотрудничестве со SWIFT и «Лабораторией Касперского» были оперативно проведены мероприятия по устранению последствий атаки и удалению вредоносного ПО, внедрены новые специализированные решения по защите от хакерских атак.
Уникальность данной атаки заключалась в том, что в рамках нее впервые в России для вывода средств была использована международная межбанковская система передачи информации и совершения платежей SWIFT. «В последние два года мы стали свидетелями того, как злоумышленники целенаправленно атаковали SWIFT — основополагающий компонент финансовой экосистемы,— отмечает ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов.— В результате действий преступников ранее пострадали банки более чем в десяти странах мира. "Глобэкс" стал первым банком в России, где была задетектирована комплексная целевая атака, при которой использовались совершенно новые техники и образцы вредоносного ПО, позволившие в итоге осуществить несанкционированные переводы через систему SWIFT». Наши эксперты продолжают исследовать этот инцидент, добавил он.
Несмотря на то что атаку удалось выявить и предотвратить вывод существенной части средств, расслабляться рано, отмечают эксперты. В ассоциации «Россвифт» не исключают возможности проникновения в систему SWIFT (см. “Ъ” от 19 декабря). Учитывая это, на первом этапе необходимо максимально изолировать внутренние банковские системы от SWIFT.
«Необходимо создание воздушного зазора между системами передачи информации и корпоративной сетью»,— говорит директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков.
Так называемый воздушный зазор — это отключение от основной сети банка системы SWIFT, чтобы вся информация на компьютер, подключенный к SWIFT, передавалась, например, через флешку.
Впрочем, изоляция SWIFT лишь первый шаг. К атаке на банк причастна преступная группировка Cobalt, от которой пострадали более 50 банков по всему миру. Группа известна тем, что нередко совершает повторные нападения на банки, оставляя в системах лазейки. По оценкам руководителя экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, в среднем работа по устранению последствий атаки занимает от трех дней до нескольких месяцев в случае большой территориально распределенной инфраструктуры. «Для предотвращения повторных атак банку необходимо провести полноценное расследование инцидента: выявить все скомпрометированные системы, досконально их изучить и убедиться в отсутствии backdoor, оставленных злоумышленниками, а также модифицировать инфраструктуру»,— продолжает он. По экспертным оценкам, лишь на приобретение необходимого оборудования банку может потребоваться не менее 50 млн руб.