АТАКА НА БАНК ЧЕРЕЗ SWIFT
15 декабря была осуществлена первая в России успешная атака на банк с выводом денег за рубеж через международную систему передачи финансовой информации SWIFT. Предположительно, нападение реализовала хакерская группировка Cobalt.
Особенность данной атаки в том, что денежные средства были выведены через SWIFT (международная межбанковская система передачи информации и совершения платежей), которую до сих пор хакеры в России не использовали.
Как сообщает газета «Ведомости», жертвой атаки стал дочерний банк ВЭБа — «Глобэкс». По информации газеты, хакеры вывели сумму, эквивалентную миллиону долларов. Президент «Глобэкса» Валерий Овсянников заявил, что «средства клиентов не пострадали».
Расследование по данному инциденту провела команда Group-IB, она же и определила, что проникновение произошло через вредонос, который рассылался группировкой несколько недель назад по банкам. Промежуток от проникновения до вывода денег ориентировочно составил три-четыре недели, средняя сумма хищения — 100 млн руб.
Структурное подразделение ЦБ по информбезопасности, в своем отчете назвал группу Cobalt главной угрозой для кредитных организаций. По предварительным данным, на их счету не менее 50 успешных атак по всему миру.
Атака 15 декабря, отличается от уже привычных лишь способом вывода средств. До этого момента SWIFT не использовался хакерами в России, хотя в мире данный способ не редкость.
В SWIFT отказались комментировать «пострадавших клиентов», но подчеркнули:
«Мы очень серьезно относимся к кибербезопасности и изучаем все угрозы, принимая все соответствующие меры. Нет доказательств, что имел место какой-либо несанкционированный доступ к сетям SWIFT или ее службам обмена сообщениями. Среднестатистический банк единовременно может быть подключен к пяти-шести различным системам — например, Национальной платежной системе, международным Visa, MasterCard, SWIFT и еще двум-трем системам денежных переводов, — отмечает директор по методологии стандартизации Positive Technologies Дмитрий Кузнецов.— И злоумышленники, проникая в инфраструктуру банка и получая доступ к любой из этих систем, выводят деньги»
Замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев также дал свои комментарии:
«Вероятно, SWIFT был выбран лишь потому, что был интересен вывод средств именно за рубеж. Деньги ушли в Европу, Азию, Америку, — отмечает он.— Видимо, обналичивание там злоумышленники сочли менее рискованным, чем в России».
Стоит отметить, что незадолго до атаки, банк прошел проверку ЦБ, и ему были предъявлены определенные претензии по уровню информбезопасности, даны рекомендации, но были ли они реализованы выяснить так и не удалось.
Спецификой подобных атак является, что при атаке на SWIFT нацеленные злоумышленники проникают в Компанию, а затем в течение 3-4 недель исследуют внутреннюю сеть, ищут инфраструктуру SWIFT и готовят атаку. После этого осуществляется вывод денег, причем антивирусы, межсетевые экраны и песочницы не видят и не могут противостоять таким атакам.
Чтобы защитить Наших Клиентов от подобны нападений мы предлагаем — Wire Transfer Guard, специализированный модуль решения Наших Партнеров Illusive networks, позволяет защищать инфраструктуру SWIFT от подобных атак. Illusive networks выявляет нацеленные атаки на ранних стадиях, заставляя злоумышленника, который уже проник в Вашу сеть, ошибаться и выдать свое присутствие задолго до того, как он доберется до важных данных или систем.