ENG

Перейти в Дзен
Технологии

Уроки хакерской атаки на Банк России

В середине декабря прошлого года стало известно об атаке хакерской группировки MoneyTaker на один из российских банков. Выявившие ее специалисты Group-IB не раскрыли ни название пострадавшего банка, ни размер понесенного им ущерба. Но одна важная деталь в сообщении присутствует. Атака была осуществлена через автоматизированное рабочее место клиента Банка России (АРМ КБР). И это делает инцидент особенно важным: злоумышленникам удалось проникнуть в инфраструктуру регулятора, а это — признак серьезной угрозы, которой подвергаются все российские банковские структуры.

Владимир Трефилов / РИА Новости
Владимир Трефилов / РИА Новости

Что сделали киберпреступники

Подобные атаки — не новость. Они происходят регулярно, объектами становятся организации с большим количеством подрядчиков, аффилированных лиц, временно привлеченных сотрудников. Ядро подобной организации традиционно находится в фокусе внимания службы информационной безопасности и защищено весьма надежно. А вот временные пользователи, места сопряжения с инфраструктурами подрядчиков остаются уязвимыми и контролируются слабо.

Так произошло и на этот раз. Атака развивалась через компрометацию аффилированного банка. Более того, злоумышленники, прежде чем перейти к активным действиям, в течение целых шести месяцев изучали инфраструктуру при помощи специализированного ПО. Это говорит о том, что нападение организовали серьезные преступники, которые понимали, какие данные они хотят обнаружить и какую ценность они имеют. Для этого было проведено то, что в английской терминологии называется lateral movement — исследование инфраструктуры, нацеленное на поиск точек, позволяющих выйти на привилегированные, ценные ресурсы.

Деталей атаки мы, к сожалению, не знаем. Известно только, что она была начата с устройства, установленного в аффилированной сети. Злоумышленники использовали одну из уязвимостей устройства. Их спектр весьма широк: это могут быть и веб-уязвимости, и отдельные протоколы, и устаревшие версии программного обеспечения, открытые данные (ссылки на сайты, учетные записи). Все, что хранится на локальном диске пользовательского устройства, может использоваться для его компрометации. Нельзя исключать и применение шпионского ПО.

Что не так с системами безопасности

Тут стоит заметить, что защита конечных устройств — весьма сложная задача. Это связано и с многообразием парка (персональные компьютеры на разных версиях Windows и MacOS, мобильные устройства), и с разнообразными классами используемого ПО, в числе которого могут находиться средства криптографии. При этом конечной целью защиты клиентских устройств являются конечные элементы серверной инфраструктуры организации или бизнес-приложения, в которых обрабатываются самые интересные для злоумышленников данные.

Повторение подобных атак не исключено и в будущем. В нашей практике мы сталкивались с различными инцидентами, происходившими в финансовых организациях. К примеру, при проведении платежей происходит выгрузка файлов из учетной системы банка на файлообменник, а уже оттуда они загружаются в автоматизированную банковскую систему. Этот процесс могут использовать злоумышленники. Сотрудник, знакомый с процедурой, меняет значения сумм зачисления на пластиковые карты. Ошибка обнаруживается уже гораздо позднее, в момент сверки корреспондентских счетов, которая может проводиться как один раз в несколько часов, так и один раз в сутки после того, как деньги с карт уже сняты.

Не всегда и не везде используется электронная цифровая подпись. В инциденте с Банком России она применялась, но злоумышленники украли ключи шифрования и скопировали их в специальную папку. Действия с файлами на файлообменнике никак не отслеживались, и это не позволило выявить атаку вовремя, не говоря о том, чтобы ее предотвратить.

Еще одна важная сторона вопроса — контроль привилегированных учетных записей, которые используют многие банковские системы. Зачастую они создаются «под пользователя» и не всегда блокируются при его увольнении. Такие учетные записи преступники могут взломать множеством способов и затем использовать для кражи данных или несанкционированных действий.

Хакерские атаки происходят с завидной регулярностью. Киберпреступники используют разнообразные технические средства и меняют методы проникновения в инфраструктуру. Если в рассматриваемом случае это было физическое устройство, то в следующий раз в роли «троянского коня» может оказаться мотивированный внутренний инсайдер. Поэтому ИБ-службам необходимо быть готовыми к отражению различных по своему характеру нападений.

Под угрозой — все регуляторы. И все банки 

Подобного рода атакам могут подвергаться не только банковские структуры. В целом финансовые учреждения защищены весьма надежно: у них, как правило, есть штат высококвалифицированных ИБ-специалистов. А вот в других отраслях картина не столь радужна, под угрозой могут оказаться и промышленные предприятия, в том числе — опасные производства.

Неприятная особенность произошедшей атаки заключается в том, что одним из объектов нападения стала информационная система регулятора рынка. ЦБ РФ — не единственная подобная структура, многие регуляторы управляют системами, которые имеют критически важное значение и обеспечивают работоспособность инфраструктуры в федеральном масштабе. Это энергетические, транспортные и другие системы. Инцидент с Банком России говорит о том, что они тоже могут подвергнуться самым разнообразным нападениям.

Есть еще одна неприятная тенденция — медленное внедрение регламентов, касающихся целых отраслей. Это может дать злоумышленникам понимание планов регуляторов: как они будут управлять отраслью, какие системы взаимодействия с участниками индустрии планируются к внедрению. Это может послужить основой для новых хакерских атак.

Инцидент с Банком России показывает: регулятор управляет частью инфраструктуры, автоматизированным рабочим местом клиента частного банка, который и пострадал в результате атаки. Это ставит под угрозу и другие банки.

Как предотвратить потери 

В первую очередь защита должна быть многоуровневой. Практика показывает, что в ней необходимо реализовать максимально оперативное оповещение ответственных сотрудников о подозрительных и аномальных действиях на каждом контуре инфраструктуры. Также нужно создать систему управления и контроля неструктурированных данных. Ведь в подавляющем большинстве хакерских атак именно неструктурированные данные становятся целью преступников. Дело в том, что они «впитывают» всю ценную информацию, которая содержится в различных информационных системах.

Использование системы управления и контроля неструктурированных данных сначала позволит определить незащищенные места, а затем «закрыть» как распределенный сегмент финансовой организации и регулятора, так и центральный аппарат.

Кроме того, появится возможность вести контроль межинформационного обмена, когда происходит выгрузка данных из одной системы и загрузка в другую. Это гарантирует целостность и достоверность данных даже в том случае, если преступники уже проникли внутрь защищаемого периметра.

Такой компонент должен стать обязательным для своевременного выявления действий злоумышленников и оперативного реагирования на них. В конечном счете — предотвращения потерь, а не их фиксации.

Автор: Владимир Вечирний, ведущий системный инженер Varonis Systems

Следите за нашими новостями в удобном формате
Перейти в Дзен

Предыдущая статьяСледующая статья