Копипаст

Копипаст | Энергобанк - Вирус

    • 23 апреля 2015, 10:15
    • |
    • Veter
  • Еще
Как сообщают ведомости
www.vedomosti.ru/finance/articles/2015/04/23/skachki-kursa-rublya-v-fevrale-deistvitelno-bili-delom-ruk-hakerov

Текст в оригинале:

Скачки курса рубля в феврале действительно были делом рук хакеров

 

Виноват «вредонос» Corkow, показало исследование Group-IB

 
  • Анна Еремина,
  • Юлия Орлова
Энергобанк - Вирус

Рубль в феврале подхватил вирус

Е. Разумный / Ведомости

Сделки небольшого казанского Энергобанка привели к тому, что 27 февраля курс доллара на Московской бирже рухнул с 61 руб. почти до 55 руб., через несколько минут стоил больше 66 руб., а затем вернулся к 61 руб. Банк заявил, что подвергся хакерской атаке, правоохранительные органы в тот же день возбудили уголовное дело. Энергобанк оценил свои потери в 243 млн руб. и пытался вернуть деньги через суд у клиентов «Открытия», БКС и «Финама» – средства на их счетах заморожены.

В хакерскую атаку не поверили ни участники рынка, ни регулятор. Банкиры выдвигали версии от ошибки трейдера либо сбоя в торговой системе Энергобанка до вывода средств из банка. Первый зампред ЦБ Сергей Швецов не исключал «сознательного манипулирования валютой» и случайности «ввиду низкой квалификации трейдеров».

А зря. Энергобанк действительно подвергся хакерской атаке, следует из выступления на конференции АРБ «Россия» Павла Крылова, руководителя по развитию продуктов Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений и мошенничеств с использованием высоких технологий. Group-IB участвовала в исследовании «инцидента с Энергобанком», проводимом совместно с правоохранительными органами, объяснил Крылов. Представитель брокера, чей счет арестован в рамках дела Энергобанка, знает, что «МВД привлекало Group-IB для исследования». Сотрудник МВД подтверждает проведение исследования, но компанию не называет.

«Отдельно скажу про довольно успешную группировку Corkow <...> С помощью этого вредоноса был инцидент в Энергобанке. Все детали согласовываются, но скоро будет полный отчет, мошенники начали потихоньку играть на бирже со стороны банка», – говорил Крылов. Представитель Group-IB отказался от комментариев. Запрос в ЦБ остался без ответа.

«Я тоже не верил в эту версию [хакерской атаки]», – говорит управляющий директор УК «Финам менеджмент» Владимир Твардовский, не исключая того, что кто-то хотел «наказать банк» потерей части его денег. Если завладеть торговой системой, можно получить деньги, проиграв их, рассуждает предправления ITinvest Максим Малетин. Он предполагает, что часть сделок по аномальным ценам заключалась «с рынком», чтобы замести следы. Исходя из оборотов торгов, финансисты оценивали убытки от таких сделок минимум в 400 млн руб. против потерянных Энергобанком 243 млн.

«Изначально они разрабатывали вирусы только под интернет-банк, но часто вирус залетал в сам банк, и тогда начиналась целенаправленная атака», – говорит о Corkow Крылов. В феврале антивирусная компания ESET предупредила об активизации трояна Win32/Corkow, поражающего системы дистанционного банковского обслуживания: атаки направлены на пользователей из России и с Украины, на них приходится 86% заражений.

★1
42 комментария
вот это поворот
В USA нередко доссят, троянов кидают в хедж-фонды, что приводит например-к задержкам выстовление позы… Россия отстает.Стоит отметить, в наше время }{aKepы направляют свои массовые attack не на физ. лица, отдельных юзеров, а на фин. корпр.… так как ловят не 1000$, несколько сот тыс. $
avatar
вот почему надо переходить на .nix системы…
Профессор Преображенский, я представляю глаза блондинок в банке, когда им скажут «сегодня вы начинаете работать в убунте!»
avatar
GHJK, ну почему сразу ubuntu есть arch, прикрутить mate и тот же windows.
Профессор Преображенский, все торговые терминалы работают под винду. О Опыте использования МТ5 под никсами, я как-то писал, ничего позитивного.
Трейдер Квадратный, quik отлично себя чувствует под wine
Храните деньги банках (3-х литровых)
все равно банк отвечает за все риски и безопасность своего компа. сами виноваты, что с торгового компа сидят на порносайтах
avatar
Идущий по воде, не на порносайтах, а на учительских сайтах.
У меня жена — учительница. Регулярно таскала вирусняки оттуда. А мы с сыном с порносайтов — никогда.
Причина подобного расклада, думаю, всем очевидна.
Вестников, нет денег на сисадмина в учебных заведениях.
avatar
Идущий по воде, не правильный ответ.
Где вы видели, юных хакеров-школоту, ненавидящих порносайты? Я вас умоляю!
А вот учительские сайты…
мдаа в жизни всякое бывает))))
avatar
Очень интересно… Эта же Group-IB в 13 году нашла троян, похищающий бабло из QUIK. ССЫЛКА НА СТАТЬЮ
Эта же Group-IB находит вирус через три года в ЭнергоБанке.
До сих пор банки не имеют надежных средств защиты. Акции Group-IB — рекомендация покупать!!!
Прикольно. Вирусы двигают биржей. До жили. В штатах за такое пожизенно могут дать
kbrobot.ru, а вы код также пишите?

Типа: Un til?
avatar
На космодроме Восточный тоже наверное «вирус» деньги украл)))
Красивая новая отмазка
avatar
Иван Петров, Кхе, у нас этих космодромов-несколько штук, хотим воруем, хотим-ракеты запускаем. Считайте лучше белорусскую картоху.
Трейдер Квадратный, Ага-одну ракету вчера запустили, но она чета упала-это точно вирус.
avatar
Иван Петров, Ну ключевое слово здесь-«запустили».
Во-первых, у «кибер преступников» которые контролируют троян, всегда есть мотив, в данном случаи ни одного мотива не прослеживается. Во-вторых, сам троян судя по описания заточен под онлайн межбанк, соответсвенно никаких прямых механизмов чтобы провести заявки на валютную секцию ММВБ в нем просто нет. В-третьих, я не представляю каким образом должна быть построена IB в банке, чтобы такая целенаправленная атака стала возможна. Почему тупо не увести деньги через межбанк? Зачем «палится» на бирже где все контрагенты и «ходы записаны»? В общем, гораздо больше вопросов, чем ответов. А по поводу Group IB, они ребята коммерческие, им тупо деньги занесли и «обрисовали ситуацию», а для них клиент всегда прав,.
avatar
«Если завладеть торговой системой, можно получить деньги, проиграв их» — вообще-то в нормальной фирме нельзя. И в нормальном банке нельзя.
Контур риск-менеджмента и аварийного риск-менеджмента должен находиться изолированно от торговой системы.
Даже у меня, частного трейдера — так.
Если какие-то параметры выйдут за пределы — вся торговля просто остановится, а дельта выровняется — до вмешательства человека.

Но видать есть и другие мнения.
avatar
Kuicimaru Nakisanava, мне наоборот кажется, что «разводка» просто вышла на следующий уровень. У трояна нет «модулей» через, которые могла быть проведена атака конкретно на софт оперирующий на валютной секции ММВБ. Остается только Hidden VNC, то есть скрытое подключение а-ля «удаленный рабочий стол», во что верится, мягко говоря слабо, и даже если это так то следов должно было остаться целая куча и непонятно как должна быть выстроена IB в банке чтобы подобное произошло. А главное совсем не понятен, мотив тех кто это мог проделать.
avatar
vlad1024, ну теоретически, если система безопасности кривая, и злоумышленники получили доступ к торговым терминалам, то они могли, допустим, покупать ниже рынка и продавая выше рынка, продавливая рынок средствами банка.

но это из пушки по воробьям, конечно.
если все так и было, то тогда обе стороны, мягко говоря, вели себя неоптимально.

что одни действовали нестратегично, что другие могли бы следить за безопасностью.

в то же время, подобная хрень действительно могла бы произойти в силу того, что хацкеры, в основном, это 13-18 лет, потом мозги обычно появляются, либо пацаны к успеху приходят (в обоих смыслах), а в региональных банках о всяких там троянах могут не слыхать и пытаться решать вопрос «традиционно», что мы и наблюдали, в общем-то.

просто еще такой момент, что те ребята, которые сейчас подключились, как я понимаю, исходя из информации из открытых источников, довольно серьезные ребята и не были замечены ни в коррупции, ни в игре в чьих-то частных интересах, то бишь, в их официальной версии нет повода сомневаться.
avatar
Kuicimaru Nakisanava, в россии аффелированность это всегда вопрос денег и связей, тем более что контора частная и работает на то что отработать деньги клиента. В любом случаи, «нагибалово» которое устроил Энергобанк, ни в какие ворота не лезит, даже если принять их версию произошедшего, то это плата за разгильдяйство и отсутствие выстроенной информационной безопасности в банке, почему за ошибки банка должны платить участники рынка?
avatar
Предполагаю что вирус даже не на ASSEMBLER написан а простой скриптовый троян который инициирует удаленный доступ к компьютеру это говорит только об одном, что у этого банка не просто плохая система безопасности а она просто отсутствует напрочь, винить за свое невежество трейдеров из других компаний которые на этом заработали или хакеров которые выявили брешь это просто вершина некомпетентности.
Григорий Старцун, эксплойт с исполняемыми dll
Профессор Преображенский, Значит они его сами себе установили через браузер, это еще смешнее.
зато на Каспере сэкономили!
avatar
ППц, терминал/ось должен быть за десятью файрволами и любой трафик кроме термиал <-> сервер должен резаться под корень.
avatar
+ напомнило анекдот: как пустить конкурента под откос ?
Купите ихнего сис-админа.
avatar
не верю ©
avatar
Энергобанк дал задание Group-IB найти отмазку для объяснения тупости и глупости своих работников, Group-IB задание выполнил: клиент всегда прав — во всем виноват вирус и хакерская атака и точка… больше вопросов не должно быть. А в качестве доказательства можно и вирусов нацепить побольше авось кто-нибудь поверит.
avatar
gib, дело ясное, что дело темное, но наличие экспертов серьезно повышает шансы Энергобанка. Ст.302 ГК п.1
avatar
trader_95, а кто спорит?
avatar
Извините, уважаемые Group-IB, но не верю. Если сделки были с терминала Биржи то это изолированные компы и сеть — это требование Биржи и это Биржа проверяет.
avatar
Di_mon, вот именно то есть тут два варианта:

1) непроглядная халатность и тупость в ИБ банка, наплевавшего на прямые рекомендации биржи и ЦБ, во что верится с большим трудом

2) либо нас тупо, разводят, потому что в трояне даже нет софтовых механизмов, чтобы «самому торговать» на валютно секции ММВБ, остается только вариант «удаленный рабочий стол», а чтобы он сработал, нужен прямой и относительно толстый канал связи с «хакером»

Еще интересный вопрос, занимался ли банк какой-либо формой «алго трейдинга» и зачем ему была нужна валютная секция ММВБ. Наверняка биржа просмотрела сделки банка и пришла к вполне определенным выводам по этому поводу, прежде чем их отключать. А теперь нам поют песенку про «невинных овечек».
avatar
group ib за деньги найдет хакеров даже в микроволновке
avatar
уже даже не смешно, откровенная чушь для втирания ничего не понимающей общественности.
от Твардовского конечно не ожидал.
Group-IB это кто вообще такие?
на Касперского денег не хватило, хотя думаю такой пиар им не нужен и репутация важней.
avatar
Corkow — похоже фамилия одного из сотрудников, который очень любит торговать

теги блога Veter

....все тэги



UPDONW
Новый дизайн