МОСКВА, 23 декабря. /ТАСС/. Проведенная на прошлой неделе атака хакеров группировки Cobalt на банк "Глобэкс" не была единственной - одновременно, предположительно, те же злоумышленники похитили средства со счетов "Севастопольского морского банка". Об этом ТАСС сообщили три источника в сфере информационной безопасности, осведомленные о событиях в Крыму.
В четверг, 21 декабря, на сайте севастопольской кредитной организации появилось объявление об ограничениях в работе ряда банкоматов. В банке это объясняли проведением профилактических работ, однако собеседники ТАСС подтвердили, что речь идет о ликвидации последствий хищения средств - оно, предполагают источники, было совершено в результате получения злоумышленниками доступа к информационным системам и через них к счетам банка с помощью вредоносного ПО с последующим обналичиванием средств через банкоматы.
"По нашей информации, коллеги в "Севастопольском морском банке" немного пострадали", - сообщил один из них.
В самой кредитной организации факт атаки или ее отсутствия комментировать отказались, однако отметили, что клиенты могут пользоваться интернет-банком без дополнительных ограничений.
По мнению собеседника ТАСС, сумма ущерба, которую нанесли хакеры "Севастопольскому морскому банку", незначительна и проблем с ликвидностью у него быть не должно. "Банк весь год хорошо развивался, поводов для беспокойства нет и не было", - отметил он. Как позднее подтвердил еще один эксперт, хакеры похитили более 10 млн рублей.
Согласно информации другого источника в банковских кругах, в заявлении в полицию банк указал сумму ущерба в размере 24 млн рублей.
Кто является хакерами
Специалисты считают, что к взлому, скорее всего, причастна хакерская группировка Cobalt, использующая в том числе созданное для "мирного" тестирования систем киберзащиты одноименное программное обеспечение Cobalt Strike. Предположительно, она неделю назад похитила из банка "Глобэкс" порядка 80 млн рублей, о чем сообщала газета "Коммерсантъ".
Для проникновения за периметр систем киберзащиты группировка использует приемы социальной инженерии, рассылая сотрудникам компаний (в первую очередь Cobalt интересуют банки, хотя последнее время круг интересов хакеров расширился и включает биржи, страховые компании и пенсионные фонды) письма, которые получатели могут принять за служебную переписку или личную корреспонденцию, открыть вложенный файл и запустить вредоносную программу. С ее помощью злоумышленники получают доступ к информационным системам интересующей их организации.
Последняя рассылка таких писем была в конце ноября, сообщили ТАСС в компании Positive Technologies, занимающейся разработкой и внедрением программного обеспечения в области информационной безопасности.
Новые приемы Cobalt
По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, банки последнее стали больше внимания уделять вопросам защиты своей инфраструктуры, их почтовые программы блокируют большинство фишинговых писем, поэтому злоумышленники изменили технику, и хакерская атака сейчас часто состоит из двух этапов. В ходе первого злоумышленники проникают в информационную систему слабо защищенной, но пользующейся доверием банка организации. На втором этапе они используют ее инфраструктуру и учетные записи реальных сотрудников для дальнейших атак на финансовые организации.
Более того, первичный интерес хакеров уже не ограничивается подрядчиками и контрагентами целевых организаций. "Группировка с успехом начала использовать и публичные сайты со слабой защитой для загрузки на них вредоносных файлов для последующей доставки на целевые компьютеры, рассылала фишинговые письма с поддельных доменов от имени регуляторов", - отметил Новиков.
Если злоумышленники все же проникли в систему и начали вывод средств, ущерб от их действий тем не менее можно минимизировать. Однако ключевой фактор здесь - человеческий. Помимо внедренных и правильно настроенных средств защиты и процессов компании или банку необходимы квалифицированные специалисты, которые будут добросовестно контролировать состояние защищенности компании и оперативно реагировать на инциденты.
Массовым проблемам - массовые решения
Небольшим региональным банкам самостоятельное создание и поддержка таких систем, а также услуги крупных вендоров просто не по карману, отмечал недавно на пресс-конференции новый глава ассоциации банков "Россия" Георгий Лунтовский. Созданный в ассоциации комитет по информационной безопасности, который возглавит зампред правления Сбербанка Станислав Кузнецов (Сбербанк имеет опыт борьбы с фишингом и социальной инженерией), будет заниматься разработкой нормативной базы, а также реализацией конкретных проектов по поддержке развития новых финансовых технологий и кибербезопасности участников рынка.
Председатель совета ассоциации, глава комитета по финансовым рынкам Государственной Думы РФ Анатолий Аксаков позднее выразил мнение, что в России целесообразно создать две структуры по обеспечению киберзащиты банков и нефинансовых организаций. По его словам, одну из них может взять на себя Сбербанк, который "уже вложился и готов предоставить свои мощности, свои технологии, свои технические возможности", другую - Банк России, у которого также есть необходимая технологическая основа.
В ЦБ с 2015 года действует Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). О том, что атаки с использованием Cobalt Strike являются основным трендом логических атак уже более полутора лет, ФинЦЕРТ неоднократно предупреждал участников рынка на протяжении полутора лет.
Его служба мониторинга на регулярной и оперативной основе уведомляет участников информационного обмена (сейчас их порядка 600, большинство из них - кредитные организации) об актуальных рисках (в том числе новых "разработках" группировки Cobalt) и способах их минимизации.
Крымский банк участником обмена не являлся.