«Хакеры могут атаковать валютный рынок снова с учетом опыта Энергобанка»

О возможности дальнейшего вмешательства хакеров в операции на валютном рынке, а также атаке на Энергобанк в феврале 2015 года рассказал в интервью Financial One глава департамента киберразведки Group-IB Дмитрий Волков.

Расскажите, почему занялись расследованием дела Энергобанка? Кто попросил Вас дать экспертное заключение?

Дело в том, что резкое колебание в паре рубль/доллар, которое произошло в конце февраля 2015 года, участники рынка объяснили ошибкой трейдера банка. Проведенное внутреннее расследование в кредитной организации показало, что их сотрудник не имеет отношения к этим операциям. После этого к нам за экспертной оценкой обратились представители Энергобанка, а затем и правоохранительные органы.

В рамках расследования мы установили, что на компьютерах банка была троянская программа Corkow, также известная как Metel, которая имеет возможность предоставления удаленного доступа к устройствам с системами интернет-банкинга, а также располагает специальными модулями для работы с информационно-торговыми системами Quick и Transaq. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления при помощи комплекса Bot Trek.

Мы выяснили, что компьютеры Энергобанка были под удаленным управлением, когда совершались подозрительные транзакции на валютном рынке. Это было хорошо видно по восстановленной хронологии событий. По итогам расследования мы передали отчет в банк.

Правильно понимаю, что за экспертную оценку заплатил сам Энергобанк?

Не могу сказать, так как за оплату не отвечаю, но в рамках этого дела к нам поступил запрос и от правоохранительных органов, для которых мы провели бесплатную экспертизу.

Как строилось Ваше взаимодействие при анализе ситуации с брокерскими компаниями, Московской биржей и ЦБ?

Мы являемся техническими специалистами, поэтому вопрос движения денежных средств исследовали сотрудники биржи, регулятор, а также сам Энергобанк. Мы тоже участвовали в некоторых обсуждениях, но это не являлось нашей основной задачей. В этой ситуации брокером был сам Энергобанк с одной стороны, а также клиенты других брокеров в качестве выгодоприобретателей с другой стороны. Дело не было стандартным, нельзя было говорить о хищении средств клиентами брокеров, так как они действовали абсолютно легально.

В материалах исследования говорится, что Энергобанк был только одним из эпизодов в серии действий злоумышленников. Расскажите о других случаях.

Атака именно брокера была первой и на сегодняшний день последней. У злоумышленников, вероятно, не было твердой уверенности в успехе операции. Мы предполагаем, что на скачке курсов валют злоумышленники смогли заработать существенно меньше других участников торгов из-за незначительной суммы собственных средств для совершения операций.

Другие случаи работы хакерской программы не связаны с валютным рынком и торговыми терминалами. Злоумышленники так же, как и в случае с Энергобанком, получали доступ к различным системам кредитных организаций, но интересовались уже операциями с физлицами и юрлицами, а также межбанковскими расчетами с целью хищения средств. В ряде случаев преступникам удалось ограбить банки таким образом. Некоторое количество атак нам удалось предотвратить благодаря выявлению этой программы до совершения преступления.

Можно узнать подробнее о том, как действуют хакеры?

Злоумышленники поставили себе цель – заразить максимальное количество компьютеров, и к концу 2014 года им удалось создать большую базу, состоящую из нескольких сот тысяч зараженных единиц компьютерной техники, некоторые из которых были установлены в финансовых организациях. Дальше хакеры начали работать с этими данными и отслеживать полезную для хищения информацию с использованием технологий удаленного доступа к системам брокерского обслуживания. Подключались, к примеру, к компьютеру рядового сотрудника банка и через него получали доступ ко всем другим компьютерам внутренней сети кредитной организации.

Были ли среди пострадавших крупные банки – топ-100, топ-200 по размеру активов?

Некоторые из топ-50 банков точно были.

Можете их назвать?

К сожалению, нет, так как у нас действуют с банками-клиентами соглашения о неразглашении.

Стоит ли ждать дальнейших атак со стороны хакеров на валютный рынок?

Читать дальше