В субботу, 14 февраля, российская компания «Лаборатория Касперского», занимающаяся кибербезопасностью, сообщила The New York Times (NYT) о «вероятно самой замысловатой атаке киберпреступников в плане тактики и методов» и одной из крупнейших краж в истории банковского мошенничества. По данным компании, группа хакеров могла потенциально похитить почти один миллиард долларов, пострадало более 100 финансовых институтов в 30 странах. Однако другая отечественная компания Group-IB, также расследующая киберпреступления, называет иной список стран и совсем другие суммы. «Лента.ру» решила разобраться в ситуации.
Миллионные хищения, возможно, не удалось бы обнаружить, если бы преступников не подвел одинокий банкомат в Киеве, беспорядочно выдававший крупные суммы. Внимание сотрудников банка привлекла картинка с видеонаблюдения за аппаратом: в случайные моменты времени машина «плевалась» большим количеством купюр, и именно в этот момент рядом «удачно» оказывались люди, которые забирали наличные. При этом не было замечено ни одного физического взаимодействия с аппаратом: никто не вставлял банковскую карту и даже не нажимал клавиш.
Фирма, чей банкомат был дискредитирован, обратилась к «Лаборатории Касперского» (ЛК) с просьбой заняться расследованием этого случая, и оказалось, что киевский аппарат был снежком на вершине огромного айсберга.
Выяснилось, что компьютеры работников банков, через которые происходили основные транзакции и учет данных, были заражены вредоносным ПО (программным обеспечением) Carbanak, которое позволяло киберпреступникам записывать каждое действие сотрудника. Запись проводилась с помощью специальных программ-скринкастов (записывающих действия пользователя на компьютере в виде видео или скриншотов). Компьютеры были заражены уже как минимум несколько месяцев.
Такая схема дала банде мошенников доступ к жизненно важной системе банка, в частности удаленный доступ к системе управления банкоматами и возможности переводить миллионы долларов из банков всего мира на счета в других странах. Названия учреждений при этом остаются неизвестными, так как в «Лаборатории Касперского» отказались предоставить эту информацию из-за договора о неразглашении.
Российская компания совместно с Европолом и Интерполом установила, что хакерская атака длилась в течение двух лет. Специалисты полагают, что за операцией стоит международная группировка, включающая киберпреступников из России, Украины, ряда европейских стран, а также Китая. Тогда как география организаций, ставших мишенью злоумышленников, исчисляется более 100 учреждениями почти на всех континентах: Россия, Украина, Китай, США, Европа. Всего — более 30 стран. Все это говорит о крупнейшем в истории банковском мошенничестве.
В основном хищения за раз не превышали 10 миллионов долларов, говорится в докладе ЛК, однако преступники могли атаковать одну организацию не единожды. Вся операция — от первого проникновения до вывода денег из системы банка — занимала от двух до четырех месяцев. Мошеннические счета были открыты в банках Китая и Америки, однако эксперты не исключают, что преступники также могли хранить украденные деньги в банках других стран и выводить их через онлайновые платежные системы.
Киберпреступники отсылали своим жертвам электронные письма, зараженные вредоносной программой, например, это могли быть сообщения с новостью, отправленные якобы от коллеги. Когда пользователь кликал на аттач, скачивался вредоносный код, рассылающий письма адресатам из контактного листа пострадавшего. Таким образом через зараженный компьютер можно было найти конкретного сотрудника, отвечающего за денежные переводы или управление банкоматов. На компьютер нужного работника устанавливались специальные программы, записывающие все действия с монитора пользователя.
«Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные», — пояснил особенность атаки Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
Еще одним способом кражи средств стало получение контроля над банкоматами: злоумышлениики активировали команду на выдачу денег в установленное время, и к этому моменту к аппарату подходил кто-нибудь из членов банды, как в том первом случае с киевским банкоматом.
Но большие суммы были похищены путем вторжения в системы бухгалтерского учета с последующим «раздуванием» счета выбранного клиента и переводом «лишних» денег на свои счета. С помощью полученного доступа и имитации банковского работника, хакеры подменяли сумму баланса. Например, на счете с 1000 долларами отображалось значение в 10 тысяч долларов. В ходе манипуляций «оставшиеся» 9 тысяч переводились на другие аккаунты. Пользователь не замечал атаку, так как его деньги оставались в неприкосновенности, и не поднимал тревогу.
«Мы выяснили, что многие банки проверяют свои счета только через каждые 10 часов или около того», — поясняет Голованов. — И поэтому в определенный промежуток времени можно было менять числа и переводить деньги».
Суммы, похищенные с помощью упомянутых тактик, были впечатляющими. Так, один из пострадавших банков потерял 7,3 миллиона долларов только путем кражи через банкомат. Другая фирма не досчиталась 10 миллионов долларов из-за махинаций с системой бухгалтерского учета. В некоторых случаях перевод средств проходили через систему SWIFT, которую банки используют для переноса вкладов за рубеж.
Как заявил управляющий директор «Лаборатории Касперского» представительства Северной Америки Крис Доджетт в интервью NYT, схема хакеров была «больше похожа на фильм "11 друзей Оушена"», настолько масштабной и продуманной была организация преступлений.
О других подробностях, помимо схемы мошенничества хакеров, известно мало. В «Лаборатории Касперского» лишь отметили, что для получения денег со счетов или из банкоматов преступники пользовались услугами так называемых дропов или «денежных мулов». Также известно, что всего в Carbanak задействовано несколько десятков людей.
После публикации NYT о Carbanak и сообщений в русскоязычных СМИ другая российская компания Group-IB заявила, что выявила эту мошенническую схему еще в прошлом году. По словам Ильи Сачкова, гендиректора компании, отчет о нетривиальной тактике хакеров был опубликован еще в декабре 2014 года. На его странице в Facebook также приводится ссылка на посвященную этой теме статью, опубликованную в Forbes.
Однако отличия двух отечественных компаний по кибербезопасности кроются даже в основных пунктах. Так, в беседе с «Лентой.ру» руководитель отдела расследований Group-IB Дмитрий Волков пояснил, что их расследование совместно с голландской компанией по информационной безопасности Fox-IT выявило подобные методы кражи средств в финансовых организациях только на территории России и Украины, в остальных странах таких случаев зафиксировано не было.
К тому же в отчетах двух компаний вредоносное ПО называется по-разному: Anunak у Group-IB и Carbanak у «Лаборатории Касперского», что также привносит путаницу, говорят ли эксперты о двух названиях одной программы или о различных вредоносных продуктах. В обеих компаниях «Ленте.ру» подтвердили, что речь идет об одном и том же ПО.
В «Лаборатории Касперского» объяснили, что в отличие от Group-IB компания задействовала международные силовые органы, которые позволили расширить знания о географии деятельности преступников.
«Наш подход к исследованию этой кампании отличался с самого начала. Мы участвовали в глобальном расследовании и взаимодействовали с международными организациями, национальными и международными правоохранительными органами и несколькими центрами CERT по всему миру. Это позволило нам получить уникальные данные и полную картину всего расследования», — отметили представители «Лаборатории Касперского».
Что касается остальных отличий, то в отчете ЛК не было сказано про то, могли ли пострадать обычные пользователи, тогда как в Group-IB сообщили «Ленте.ру», что хакерами также были затронуты ретейл-организации в Европе. Так, взламывались терминалы в магазинах, с которых злоумышленники могли красть сведения о банковских картах, проходивших через такой аппарат. «Конечно, — прокомментировал Волков, — обычно хакеров, использующих такие сложные схемы, мало интересуют сами клиенты банков из-за скромных сумм, и в случае Anunak акцент был сделан на целые фининституты, однако данные карт киберпреступники могли продавать третьим лицам также для получения денежной выгоды».
Более того, у двух компаний расходятся суммы ущерба: у ЛК значится почти 1 миллиард долларов, в то время как у Group-IB — 1 миллиард рублей, что еще может быть объяснено отличием данных о географии произошедшего.
«Ленте.ру» пояснили, что ЛК считает 1 миллиард долларов потенциальным общим размером убытков финорганизаций. У компании имеются доказательства о кражах на сумму 300 миллионов долларов, еще около 300 миллионов долларов — это предположительная оценка ущерба компаний, пострадавших от преступников, но не заявивших об этом. Сведения о последней трети суммы, по заявлению ЛК, были получены от международных правоохранительных органов, с которыми проводили расследование эксперты российской компании.
Однако специалисты по кибербезопасности сходятся в одном: преступники продолжают свою деятельность. «Лаборатория Касперского» даже призвала финансовые организации тщательно проверить свои сети на присутствие вредоносного ПО. Однако, как отметили «Ленте.ру» в Group-IB, в период зимы 2014-2015 годов замечен спад в активности хакеров. Пока причины снижения интенсивности работы злоумышленников не установлены, но пик их деятельности приходился на осень 2014 года.
Как объяснил «Ленте.ру» Алексей Сизов, руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет», в подобной атаке не были использованы новые или неизвестные ранее методы. Однако успех хакеров заключался именно в системности, последовательном подходе и высокой организованности. «Хакеры не устраивают атаку в лоб, распознаваемую дежурными администраторами или хорошо настроенными системами защиты периметра и контроля вторжений. Злоумышленники последовательно от одного рубежа защиты к другому получают доступы к основным банковским системам, — говорит он. — Намного проще изменить сумму на банковской карте на несколько порядков, заставить систему формирования платежей прибавлять несколько нулей к оригинальной транзакции, чем красть деньги с сотен и тысяч карт простых клиентов».
Именно такой подход, считает он, не оставляет шансов слабоавтоматизированным системам и персоналу дежурных служб разглядеть в миллионах событий именно то, что является цепочкой проникновения, растянутой на недели или месяцы. «Сложность обнаружения таких взломов состоит в том, что контроль только части систем не позволяет выявить реальную активность злоумышленников — она слишком хорошо замаскирована под обычные действия пользователей и может быть определена только совокупностью фактов с большинства систем ИБ (информационной безопасности). Однако банков, в которых существуют и главное активно эксплуатируются комплексные системы контроля за событиями ИБ, системы контроля операций персонала и системы кроссканального антифрода, — единицы, а банков — тысячи», — отметил эксперт.