Осенью прошлого года произошло событие, оставшееся незамеченным широкой общественностью, но полностью переворачивающее реальность в мире информационной безопасности финансовых организаций. Группой киберпреступников была тщательно подготовлена и успешно проведена полномасштабная атака на российский банк и сняты все деньги с его корсчета.

До этого все успешные попытки несанкционированного снятия денег киберпреступниками происходили на стороне клиентов. И на них был направлен основной вектор атак злоумышленников.

Зачастую клиенты не имели элементарных средств защиты, хранили секретные ключи систем ДБО прямо на жестком диске и даже не задумывались о существующих угрозах. И как следствие становились легкой добычей мошенников.

Какие-то попытки краж денег клиентов удавалось предотвратить на уровне банков, которые, как правило, хорошо понимали наличие угроз и предпринимали дополнительные меры по защите клиентов, например, с помощью различных антифрод-систем. Какие-то атаки были успешными и деньги уводились. Но по большому счету это были проблемы клиента, а не банка, и специалистам было легко доказать, что кража произошла не на стороне банка и не по его вине.

Конечно, и финансовые организации всегда были заманчивой мишенью для хакеров. Ведь потенциально денег там можно украсть больше. Внешний периметр защиты банков подвергался атакам постоянно. Иногда удавалось ненадолго нарушить работу банка с помощью попавших сеть вирусов или DDOS атак, но существенного финансового урона непосредственно самому банку это не наносило.

У банков были деньги на современные средства защиты, были специалисты, которые могли минимизировать угрозы. Но главное даже не в этом. В любой системе защиты можно найти бреши. Да, можно забросить трояна за внешний периметр банка. «Повесить лестницу на его крепостную стену». Можно подготовить пути отхода, наняв толпу дропперов, которая соберется у «стен» банка и мгновенно растащит добычу. Но что делать преступнику там, «в городе»? В лабиринте «улиц», в хитросплетении которых не сможет разобраться и большинство жителей? Как найти дорогу к деньгам и выбраться с ними? Сама сложность АБС и технологических схем денежных потоков внутри банка во многом защищала организацию от случайного налета преступников.

Квалификация преступников росла. Появились и новые средства атаки. Например, в мае 2014 г. появился банковский троян Zberp, основанный на исходниках Zeus и Carberp, который мог собирать данные о компьютере, перехватывать данные и SSL-сертификаты и предоставлять удаленный доступ к компьютеру жертвы по протоколам RDP и VCN, а в июле — заметающий следы банковский троян Kronos.

Но главное, на рынке труда появились нужные специалисты. Благодаря массовому закрытию банков появилась масса безработных банковских специалистов разной квалификации, от операционистов до топ-менеджеров. Профессионалов, хорошо знающих технологические процессы в банках и умеющих работать с различными АБС и специализированным банковскими программами. У злоумышленников появилась возможность закрыть свое самое слабое звено — технологов. И процесс пошел. Весной этого года был успешно атакован второй российский банк.

Конечно, любое проникновение в сеть банка с получением информации о клиентах является успешной атакой. Но все же самая опасная атака на банк, страшный сон службы ИБ — это взлом его АБС или внутренних систем, обеспечивающих денежные переводы и снятие средств с его корсчетов, прежде всего с корсчета в отделении ГУ ЦБ РФ.

Если просто посмотреть на баланс любого банка, то суммы произведут впечатление. Но по большому счету реально украсть разом можно только деньги на корсчетах банка в момент атаки. Впрочем, это тоже сумма не маленькая.

Времена хакеров-одиночек ушли в прошлое. Нет, они никуда не делись, но по большому счету не представляют особых проблем для банковских служб ИБ. Новая реальность — появление команд профессионалов, которые проводят сложные многомесячные таргетированные атаки.

Одни находят бреши в защите банков и устанавливают контроль над компьютером в его сети. Уже использовавшийся злоумышленниками способ — посылка в банк зараженного письма от имени Банка России. Другой простой вариант — посылка письма в банк по системе интернет-банкинга. Сотрудник банка открывает вложенный файл и получает на компьютер троянца. Если это атака нулевого дня — не поможет и антивирус. А еще ведь есть человеческий фактор — антивирусная программа на компьютере может быть просто не обновлена. Или не были закрыты уже выявленные уязвимости Windows.

Потом в действие вступают специалисты, выясняющие из различных источников, включающих соцсети, сайты, «темный» Интернет и простое сканирование сети банка, какая АБС используется в банке, какие там системы денежных переводов и где находятся серверы АБС и рабочие места сотрудников, осуществляющих переводы денег (например, где стоит Автоматизированное рабочее место клиента Банка России — АРМ КБР). Технологи изучают схему движения средств в банке и готовят схемы вывода средств.

Отдельные преступные группы обеспечивают вывод средств через открытые мошенниками специальные счета в других банках, с последующим обналичиванием средств через специальных людей — дропперов. Они или сами снимают наличные, или регистрируют на себя банковские карты и за вознаграждение передают их другим преступникам.

В двух успешных полномасштабных атаках деньги выводились сразу по всем возможным каналам, не только через переводы денег на счета подставных фирм в других банках, но и через системы денежных переводов.

Кроме этих двух случаев полномасштабных атак, поставивших под удар само выживание банков, были и другие. Например, по данным Group-IB, начиная с 2013 г. преступная группа Anunak успешно получила доступ в сети более 50 российских банков и пяти платежных систем. А в результате целевых атак всех преступных групп российские банки лишились с июня 2014 г. по июнь 2015 г. 638 млн. руб.

Новый центр, новые задачи

Наша банковская система оказалась в новой реальности, и это потребовало применения экстренных мер ЦБ РФ. Три месяца назад был создан FinSERT — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ГУБ и ЗИ Банка России.

«Последний тренд киберпреступности — атаки на банки и их АРМ КБР. За три последних месяца было украдено более полумиллиарда рублей», — рассказал на прошедшем в октябре 2015 г. форуме «Вся банковская автоматизация 2015» начальник FinSert Дмитрий Фролов.

Трудно говорить о результатах деятельности нового подразделения ЦБ РФ за такой короткий срок. Но сам факт его появления — момент положительный. Теперь банк, столкнувшийся с попыткой незаконного списания денежных средств, может обратиться в эту структуру. «Всем помочь с расследованием не сможем, но хотя бы поможем с рекомендациями и посоветуем куда обратиться», — разъяснил Дмитрий Фролов.

Основные направления деятельности Центра — мониторинг инцидентов, информацию о которых предоставляют подключенные к нему банки, аналитика и обобщение информации, оперативное доведение аналитики до участников рынка, взаимодействие с правоохранительными органами, в первую очередь в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Пока поток обращений к Центру небольшой. К нему сейчас подключено чуть больше 60 банков, причем подключение — дело сугубо добровольное. Но «железный банк всегда получает свое». И то, что было добровольным, наверняка станет обязательным, когда структура встанет на ноги.

Впрочем, уже сейчас Центр помогает банкам. Так, Дмитрий Фролов рассказал о недавнем инциденте, когда восемь кредитных организаций и одно подразделение крупного иностранного банка были подвергнуты DDoS-атаке и злоумышленники требовали за прекращение атаки определенную сумму в биткоинах. Благодаря организованному Центром взаимодействию ущерб от атаки был минимальным.

Меры, предпринятые Банком России

Ну, и конечно, продолжились работы ЦБ РФ, направленные на повышение информационной безопасности финансовых организаций. Банком России проводится мониторинг ситуации — уже несколько лет банки посылают в ЦБ РФ отчеты об инцидентах ИБ (форма 0403203). Понятно, что по разным причинам банки сообщают не обо всех инцидентах. Иногда просто опасаясь подставиться и получить наказание от регулятора. Но все же эта отчетность может дать оценку ситуации, хотя бы по нижнему пределу.

Также банки по требованию ЦБ РФ проводят оценку выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств (форма 0403202) и прилагают силы, чтобы улучшить свою оценку.

Меняется и законодательство. На Форуме начальник отдела методологии обеспечения безопасности информационных ресурсов ГУБ и ЗИ Банка России Андрей Выборнов рассказал о планируемых изменениях в Положении № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Если кратко — планируется законодательно разрешить отзывать деньги, несанкционированно снимаемые мошенниками (сейчас это формально можно сделать только через суд), и повысятся требования к банкам по проведению платежей в системах ДБО. Проще говоря, если платеж по определенным критериям можно будет определить как подозрительный, то банк будет обязан связаться с клиентом по независимому каналу и получить от него подтверждение платежа.

Усиление систем защиты, как правило, отрицательно сказывается на сервисе. Ужесточение контроля сомнительных сделок будет приводить к увеличению ложных срабатываний антифрод-систем. Так что совет клиентам — сразу проверяйте, действительно ли ушел ваш платеж. Или был остановлен банком по совершенно непонятной для вас причине. Например, антифрод-система посчитала действия вашего бухгалтера в системе интернет-банкинга нетипичными. Он никогда не проверял статус отправленных документов в обеденный перерыв, а тут стал опрашивать каждые две минуты. Или что-то еще. Мало ли что может заложить банк в антифрод. Поэтому не удивляйтесь, если ваш как всегда очень срочный и важный платеж завис. И в мобильнике у вас уже есть пропущенное SMS от банка с просьбой его подтверждения.

Что нужно банкам?

Под ударом оказались банки, и именно они должны в первую очередь заняться вопросами отражения новых угроз. Для этого им прежде всего надо самим выяснить, где появились новые риски и пересмотреть свои модели угроз. Для этого надо понимать, как были проведены успешные атаки. А тут есть проблема.

Где доступные банкам отчеты об этих инцидентах? Есть отчет Group-IB, но там говорится только о самих фактах, без всякой конкретики. На Форуме Дмитрий Фролов сказал, что были сняты все деньги с корсчетов банков, названия которых он дать отказался. Названия и не нужны, нужно понять детали используемых мер защиты и средств нападения. Ведь просто слив денег с корсчета можно объяснить и без привлечения понятия «хорошо организованная профессиональная группа кибермошенников».

Например, руководство банка само решило украсть деньги, слило их, а потом, заметая следы, все свалило на хакеров. Или были ошибки персонала, например, айтишники по каким-то своим причинам отключили контроль на красное сальдо, а операционистка задумалась о чем-то своем девичьем и набила лишних ноликов в сумме. Системы ИБ не стандартизованы и во всех банках свои. И то, что совершенно невозможно в одном банке, вполне может сработать в другом.

Надеюсь, что ЦБ РФ провел тщательное расследование этих случаев и заявления о внешних атаках не голословны. Тогда тем более важны подробности. У альпинистов каждое ЧП с гибелью спортсмена тщательно разбирается специальной комиссией, делаются выводы и результаты публикуются. Только так можно повысить безопасность в горах. Почему бы в банковской сфере не пойти по такому пути?

Есть сильное подозрение, что дело не в «высочайшем профессионализме хакеров», а в обыкновенном раздолбайстве служб ИБ атакованных банков. Тогда надо просто навести порядок в своих службах ИБ. Другой правдоподобный вариант — наличие инсайдера внутри. Тогда следует задуматься об эффективности DLP-системы, которая, кстати, может помочь, если какая-то машина банка окажется под внешним управлением. А это может быть компьютер и самого благонадежного сотрудника.

Но в любом случае нужна точная информация. И почему бы такую информацию не предоставлять банкам хотя бы тем же Центром по мониторингу, созданным ЦБ РФ? Не интересует название пострадавшего банка, эта информация действительно может нанести ему дополнительный ущерб. Интересует обезличенная информация о подробностях успешных атак и рекомендации по их предотвращению.

И хорошо бы Центр еще занимался профилактической работой — мониторил сайты, соцсети, «темный» Интернет на предмет готовящихся атак на банки и предупреждал их об этом. Или хотя бы взаимодействовал со структурами, которые это могут делать.

Например, у операторов сотовой связи есть программно-аппаратные комплексы, позволяющие отслеживать активность вредоносного ПО, фиксировать попытки отправки данных мошенникам, выявлять центры управления заражёнными устройствами, а также счета, номера, виртуальные кошельки и аккаунты, через которые выводятся украденные средства. О такой системе, используемой в МТС, рассказал 21 октября на Russian Enterprise Mobility Summit в Москве Николай Гончаров, главный специалист отдела обеспечения информационной безопасности этой компании.

Есть о чем подумать и компаниям-разработчикам АБС. Нужно внимательно рассмотреть архитектуру своих решений с точки зрения выполнения требований ИБ, не ссылаясь на то, что АБС — внутренняя система, которую защищает внешний периметр.

Борьба средств защиты и нападения продолжается. Банкам надо понять, что они оказались в новой реальности. Вектор атак злоумышленников сместился с клиентов на банки. И недостаточное внимание к вопросам обеспечения своей информационной безопасности может привести к гибели финансовой организации. Важно, чтобы банки не начали экономить на ИБ в условиях кризиса и нехватки денег. Ведь такая экономия может привести к печальным результатам.

Автор статьи — к.т.н., член АРСИБ, опыт работы в банках более 20 лет.

Версия для печати (без изображений)