http://habrahabr.ru/post/250597/
В конце 2013-го банкомат в Киеве начал выдавать деньги в совершенно произвольные моменты. Никто не вставлял в него карточки и не прикасался к кнопкам. Камеры зафиксировали, что деньги забирали люди, случайно оказавшиеся рядом в тот момент.
Но когда для расследования привлекли
«Лабораторию Касперского», она обнаружила, что «сбрендившее» устройство — наименьшая из проблем банка.
На банковских компьютерах, с помощью которых сотрудники совершали ежедневные переводы и вели бухучет, было зловредное ПО, позволявшее киберпреступникам регистрировать каждый шаг. Согласно результатам расследования, ПО скрывалось там месяцами, отправляя видеозаписи и изображения, сообщившие преступной группе — в которую входили россияне, китайцы и европейцы — как банк совершал свои ежедневные операции.
Затем злоумышленники выдавали себя за сотрудников банка, не только включая устройства для выдачи денег, но и переводя миллионы долларов из банков в Россию, Японию, Швейцарию, США и Голландию на подставные счета.
В отчете, который планируется опубликовать в понедельник и который заранее предоставили The New York Times, «Лаборатория Касперского» говорит, что масштаб этой атаки на более чем 100 банков и других финансовых организаций в 30 странах может сделать это одним из крупнейших ограблений банков в истории — и при этом лишенным обычных признаков ограбления.
«Лаборатория» говорит, что из-за соглашений о неразглашении с пострадавшими банками она не может их назвать. Белый дом США и ФБР были уведомлены о найденном, но говорят, что потребуется время для подтверждения данных и для оценки потерь.
Компания заявляет, что через своих клиентов получила свидетельства кражи на $300 миллионов у ее клиентов, и считает, что общие убытки могут быть втрое выше. Но эту оценку невозможно проверить, потому что размеры транзакций при хищении были ограничены $10 миллионами (хотя некоторые банки пострадали неоднократно). Во многих случаях снятые суммы были скромнее, вероятно, чтобы оставаться незамеченными.
Большинство пострадавших организаций располагаются в России, но многие также в Японии, США и Европе.
Пока что ни один банк не признал кражу — типичная проблема, на которую обратил внимание Обама в пятницу, посетив первый саммит Белого дома по кибербезопасности и защите потребителя, прошедший в Стэнфордском университете. Он высказался в пользу принятия закона, который бы требовал публичного раскрытия информации о любом взломе, при котором была похищена персональная или финансовая информация.
Но консорциум, предупреждающий банки о злонамеренной активности — Центр анализа и обмена информацией между финансовыми службами — сообщил в заявлении: «Наши участники знают об этой активности. Мы распространили информацию об этой атаке среди наших участников», а также «некоторые брифинги были проведены правоохранительными органами».
Ассоциация американских банкиров отказалась от комментариев, и ее руководитель Дуглас Джонсон сказал, что группа будет считать единственным комментарием заявление консорциума. Следователи Интерпола сказали, что их сингапурские специалисты по киберпреступлениям координируют расследование совместно с правоохранительными органами пострадавших стран. Также было уведомлено голландское Dutch High Tech Crime Unit, подразделение национальной полиции, расследующее некоторые из самых сложных финансовых киберпреступлений.
Молчание вокруг расследования выглядит вызванным отчасти нежеланием банков признавать, что их системы оказались столь уязвимы, а отчасти тем фактом, что атаки продолжаются.
Управляющий директор североамериканского офиса «Лаборатории Касперского» в Бостоне, Крис Доггетт, заявил, что «группировка Carbanak», названная по используемому зловредному ПО, показывает повышение хитроумности кибератак на финансовые компании.
«Вероятно, это самая сложная атака в истории с точки зрения тактик и методов, использовавшихся киберпреступниками для того, чтобы остаться незамеченными», — сказал он.
Как и в случае с недавней атакой на Sony Pictures, которую Обама в пятницу снова назвал делом рук Северной Кореи, взломщики были очень терпеливы, разместив следящее ПО в компьютеры и системных администраторов и наблюдая за их действиями месяцами. Свидетельства говорят о том, что в данном случае взломщики представляли не страну, а группу киберпреступников.
Но остается открытым вопрос о том, как афера такого масштаба могла продолжаться почти два года без того, чтобы банки, регуляторы или правоохранительные органы спохватились. Занимающиеся расследованием говорят, что ответы могут скрываться в методе хакеров.
Во многих отношениях этот взлом начался стандартно. Киберпреступники отправляли своим жертвам зараженные письма — новость или сообщение, приходившие якобы от коллеги — в качестве приманки. Когда банковские сотрудники кликали, они ненамеренно скачивали зловредный код. Это позволяло хакерам распространяться по сети банка, пока они не добирались до сотрудников, управлявших системами перевода денег или удаленно контроливовавших банкоматы.
Затем, по словам сотрудников Касперского, злоумышленники устанавливали RAT — remote access tool — позволявшую получать видеозаписи и скриншоты с компьютеров сотрудников.
«Цель была в том, чтобы перенять их действия, — сказал The New York Times по телефону из России Сергей Голованов, ведущий расследование в «Лаборатории Касперского». — В этом случае все выглядит как нормальные, повседневные транзакции».
Преступники потратили много сил на то, чтобы изучить особенности системы каждого банка, в то же время заводя счета в банках США и Китая для перевода денег на них. Два человека, проинформированные о ходе расследования, говорят, что счета были созданы в J. P. Morgan Chase и Agricultural Bank of China. Ни один из банков не ответил на запрос комментария.
«Лаборатория Касперского» была основана в 1997-м и стала одним из самых известных примеров высокотехнологичного российского экспорта, но ее доле рынка в США мешало ее происхождение. Ее основатель, Евгений Касперский, изучал криптографию в вузе, который частично финансировался КГБ и Минобороны, и работал на российскую армию до открытия своей компании.
Когда приходило время нажиться на своих действиях — период, который расследование называет разнящимся от двух до четырех месяцев — преступники использовали несколько путей. В части случаев они использовали онлайновые банковские системы для перевода денег на свои счета. В других случаях командовали банкомату выдать деньги там, где поджидал один из сообщников.
Но самые крупные суммы были похищены взломом банковских учетных систем и манипулированием балансами. Выдавая себя за сотрудников, преступники искусственно завышали баланс — например, счет с $1 000 обрабатывался так, чтобы отображаться как счет с $10 000. Затем $9 000 выводились из банка. Настоящий обладатель счета не мог ничего заподозрить, а у банка требовалось время, чтобы разобраться, что произошло.
«Мы обнаружили, что многие банки проверяют счета лишь раз в 10 часов или около того, — сказал Голованов. — Так что в промежуток можно успеть поменять числа и вывести деньги».
Успех хакеров впечатляет. Как заявляет «Лаборатория Касперского», одна из компаний, являющихся ее клиентами, потеряла $7,3 миллиона через одни лишь банкоматы. В некоторых случаях деньги переводились через систему SWIFT, используемую банками для международных переводов. Она долго была целью хакеров — и так же долго за ней следили спецслужбы.
Доггетт сравнил большинство киберпреступлений с преступлениями в духе «Бонни и Клайда», когда грабители врываются, хватают все возможное и бегут. А в этом случае, сказал он, все «скорее похоже на «11 друзей Оушена».