Cyber threats: дистанционное банковское обслуживание, брокерские счета, криптовалюты

Вчера посетил интересную конференцию, которую организовали ВТБ и  Ассоциация Корпоративных Казначеев «Оптимизация и обеспечение безопасности денежных потоков».
Понравился один из докладов по ситуации с киберугрозами, тезисами которого я хотел бы поделиться.

Киберугрозы (Group-IB):
 
Статистика мошенничества в ДБО:
Вцелом, отмечается снижение угроз типа:

• Хищение в интернет банкинге у ЮЛ (-12%)
• Хищение в интернет банкинге у ФЛ (-100%)
• Хищение у ФЛ с Андроид троянами (-77%)
• Целевые атаки на банки в РФ (-20%)
• Обналичивание похищаемых средств (-26%)

Рост только в Фишинге: 6%.

Снижение угроз вызван снижением интереса группировок именно к РФ и переход на менее защищенные страны.

Одна из серьезных угроз для ЮЛ — «BUHTRAP». 

Kill chain:

• Заражение — через почтовые рассылки с вредоносным вложением маскирующимся под сообщение от банка.
• Обход — UAC, mimimod для получения записей ОС, RPD/VNC/LiteManager
• Уничтожение — ОС и следов работы
• Запуск — модуля автозалива для «1С: Предприятие в браузере»
• Обход — защиты «1С: Предприятие „Контроль безопасности обмена с банком“.

Во второй половине 18 года т.о. было заражено более 600 учетных записей ЮЛ.

Целенаправленные атаки на банки (группировки, направление ударов):

• ANUNAK (интернет-банкинг, АРМ КБР, SWIFT, Банкоматы, платежные шлюзы, карточный процессинг)
• CORKOW (трейдинговые терминалы, карточный процессинг, банкоматы)
• отдельным стоит BUHTRAP
• LURK (АРМ КБР)
• COBALT (банкоматы, карточный процессинг, SWIFT, платежные шлюзы)
• MONEYTAKER (банкоматы, карточный процессинг, АРБ КБР)
• SILENCE (банкоматы, карточный процессинг, АРБ КБР)
• LAZARUS (SWIFT, карточный процессинг)
• BLACKENERGY (саботаж)

АРМ КБР — автоматизированное рабочее место ЦБ РФ.

На текущий момент активны последние 5 из списка: COBALT,  MONEYTAKER,  SILENCE,  LAZARUS (действует уже порядка 5 лет), BLACKENERGY. 

Примеры атак:

• 01.2015 — Эквадор, Banco del Austro, похищено 12 млн. долл.
• 10.2015 — Вьетнам, Tien Phong Bank, похищено 1,36 млн. долл
• 02.2016 — Бангладеш, Центральный банк, Lazarus, попытка хищения 951 млн. долл.
• 04.2016 — Украина, банк „Кредит Днепр“, Cobalt, похищено 950к. долл из попытки хищения 10 млн. 
• 12.2016 — Турция, AkBank, Lazarus, похищено 4 млн. долл.
• 04.2017 — Б.Восток, ЛатАмерика, Shadow Brokers опубликовали сведения об атаках Equation Group (США) на SWIFT
• 12.2017 — Россия, банк, Cobalt, 1 млн. долл похищен из попытки в 5 млн. долл.
• 01.2018 — Мексика, Bancomext, Presumably Lazarus, похищено 110 млн. долл.
• 02.2018 — Индия, 2 банка, похищено 1,7 млн. и 1,87 млн. дол. 
• 05.2018 — Чили, Banco de Chile, Presumably Lazarus, пеохищено 10 млн. долл.

Пример атаки на брокерскую систему:

18.09.2014 Заражение:
13:21 — Эксплуатация уязвимости
13:22 — Установка трояна
13:24 — Отправка данных

Сбор сведений о системе:
19.09 — старт сбора.
Сентябрь, октябрь и ноябрь — анализ действий.
10.12 — запуск клавиатурного шпиона

Инцидент:
27.02.2015
12:30 — Удаленное управление системой
12:32 — Формирование заявок на биржу
12:44 — Уничтожение системы 

14 минут длительность атаки. 

Угрозы для криптовалютного рынка:

Пример атаки:

• Фишинговый сайт под китайскую криптобиржу Binance
• Сбор логинов и паролей трейдеров
• Генерация API-ключей для автоматизированной работы с биржей
• в течении 2х минут — генерация заявок от имени трейдеров на валюту Viacoin
• рост курса Viacoin
• Продажа Viacoin за Bitcoin по завышенному курсу

Наибольшей опасностью для системы считается двойное списание средств (double spending).

»Атака 51%"

Владея 51% мощности, атакующий может создать скрытый альтернативный блокчейн и использовать его для подтверждения собственных транзакций.

• Verge — атакующий добыл криптовалюту на сумму более 1 млн. долл.
• Bitcoin Gold — атакующий добыл криптовалюту на сумму более 18 млн. долл.
• SuperNova сообщил, об атаке «51%» на Verge.
• ZenCash -  атакующий добыл криптовалюту на сумму более 550к. долл.
• Litecoin Cash — Форк криптовалюты LTC столкнулся с «атакой 51%»