Fomag.ru
Fomag.ru личный блог
16 февраля 2016, 17:52

«Хакеры могут атаковать валютный рынок снова с учетом опыта Энергобанка»

«Хакеры могут атаковать валютный рынок снова с учетом опыта Энергобанка»

О возможности дальнейшего вмешательства хакеров в операции на валютном рынке, а также атаке на Энергобанк в феврале 2015 года рассказал в интервью Financial One глава департамента киберразведки Group-IB Дмитрий Волков.

Расскажите, почему занялись расследованием дела Энергобанка? Кто попросил Вас дать экспертное заключение?

Дело в том, что резкое колебание в паре рубль/доллар, которое произошло в конце февраля 2015 года, участники рынка объяснили ошибкой трейдера банка. Проведенное внутреннее расследование в кредитной организации показало, что их сотрудник не имеет отношения к этим операциям. После этого к нам за экспертной оценкой обратились представители Энергобанка, а затем и правоохранительные органы.

В рамках расследования мы установили, что на компьютерах банка была троянская программа Corkow, также известная как Metel, которая имеет возможность предоставления удаленного доступа к устройствам с системами интернет-банкинга, а также располагает специальными модулями для работы с информационно-торговыми системами Quick и Transaq. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления при помощи комплекса Bot Trek.

Мы выяснили, что компьютеры Энергобанка были под удаленным управлением, когда совершались подозрительные транзакции на валютном рынке. Это было хорошо видно по восстановленной хронологии событий. По итогам расследования мы передали отчет в банк.

Правильно понимаю, что за экспертную оценку заплатил сам Энергобанк?

Не могу сказать, так как за оплату не отвечаю, но в рамках этого дела к нам поступил запрос и от правоохранительных органов, для которых мы провели бесплатную экспертизу.

Как строилось Ваше взаимодействие при анализе ситуации с брокерскими компаниями, Московской биржей и ЦБ?

Мы являемся техническими специалистами, поэтому вопрос движения денежных средств исследовали сотрудники биржи, регулятор, а также сам Энергобанк. Мы тоже участвовали в некоторых обсуждениях, но это не являлось нашей основной задачей. В этой ситуации брокером был сам Энергобанк с одной стороны, а также клиенты других брокеров в качестве выгодоприобретателей с другой стороны. Дело не было стандартным, нельзя было говорить о хищении средств клиентами брокеров, так как они действовали абсолютно легально.

В материалах исследования говорится, что Энергобанк был только одним из эпизодов в серии действий злоумышленников. Расскажите о других случаях.

Атака именно брокера была первой и на сегодняшний день последней. У злоумышленников, вероятно, не было твердой уверенности в успехе операции. Мы предполагаем, что на скачке курсов валют злоумышленники смогли заработать существенно меньше других участников торгов из-за незначительной суммы собственных средств для совершения операций.

Другие случаи работы хакерской программы не связаны с валютным рынком и торговыми терминалами. Злоумышленники так же, как и в случае с Энергобанком, получали доступ к различным системам кредитных организаций, но интересовались уже операциями с физлицами и юрлицами, а также межбанковскими расчетами с целью хищения средств. В ряде случаев преступникам удалось ограбить банки таким образом. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления.

Можно узнать подробнее о том, как действуют хакеры?

Злоумышленники поставили себе цель – заразить максимальное количество компьютеров, и к концу 2014 года им удалось создать большую базу, состоящую из нескольких сот тысяч зараженных единиц компьютерной техники, некоторые из которых были установлены в финансовых организациях. Дальше хакеры начали работать с этими данными и отслеживать полезную для хищения информацию с использованием технологий удаленного доступа к системам брокерского обслуживания. Подключались, к примеру, к компьютеру рядового сотрудника банка и через него получали доступ ко всем другим компьютерам внутренней сети кредитной организации.

Были ли среди пострадавших крупные банки – топ-100, топ-200 по размеру активов?

Некоторые из топ-50 банков точно были.

Можете их назвать?

К сожалению, нет, так как у нас действуют с банками-клиентами соглашения о неразглашении.

Стоит ли ждать дальнейших атак со стороны хакеров на валютный рынок?

Читать дальше

13 Комментариев
  • Gugenot
    16 февраля 2016, 17:55
    Иными словами, «кругом УРАГИ, @лядь !..» ©
    :)))…
  • Алексей
    16 февраля 2016, 17:58
    Матрица
  • moroz
    16 февраля 2016, 18:00
    Вааще пох на ваших хакеров
    На ваш энергичный банк
    И на эту лапшу — на ушах наивных хомячков, возникшую вследствие чтения новостей для смердов
    PS: это шутка такая — просьба не минусить комментарий — дабы не обнажать свой низкий ай-ку
    )))
  • skatino
    16 февраля 2016, 18:09
    не верю в хакеров...
    не… в целом верю, а в этом случае нет
  • eagledwarf
    16 февраля 2016, 18:12
    ну что, кажется на Российском рынке таки появится Кукл, в виде кибер-отделения ФСБ, пральна я понял? :))

    кибер-разведчик спалился, атака брокера — заражены банки — туфта это все, не было никого, но зато теперь у наших доблестных киберзащитников из соответствующих структур — ручки развязаны, сейчас они под предлогом борьбы с терорризмом залезут в информацию о всех счетах и транзакциях в банках из ТОП-50. молодцы, чё
    • Олег\_TkilA_/
      16 февраля 2016, 18:37
      eagledwarf, тогда скорей скрытая реклама частной Group-IB, где Вы увидели про структуры?
      • eagledwarf
        16 февраля 2016, 19:27
        Олег, между строк прочел :)
  • Chepell
    16 февраля 2016, 18:37
    … не мешки ворочать
  • edel
    16 февраля 2016, 20:13
    )))
  • Niktesla (бывш. Бабёр-Енот)
    17 февраля 2016, 00:38
    Мы выяснили, что компьютеры Энергобанка были под удаленным управлением, когда совершались подозрительные транзакции на валютном рынке.
    Иными словами — сотрудник накануне нахуярился так, что не смог утром дойти до работы, поэтому фигачил из дома по удаленке)))
  • Gospodin
    17 февраля 2016, 02:23
    Такие хакеры пользу приносят. Создают волатильность. Незачем в кэше крупняку отсиживаться. Пусть тоже сливают))

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн