Активность, связанная с атаками на SWIFT в украинских банках, известна с 2015 года. Если говорить точнее, то, как минимум, с марта 2015 года злоумышленники уже предпринимали меры по отправке в банки электронных писем с характерными вредоносными вложениями (после этого следовал небольшой перерыв).
Активность, связанная с атаками на SWIFT в украинских банках, известна с 2015 года. Если говорить точнее, то, как минимум, в марте 2015 года злоумышленники уже предпринимали меры по отправке в банки электронных писем с характерными вредоносными вложениями (после этого следовал небольшой перерыв).
Как и полагается, в случае успешного проникновения в банк злоумышленники проводят разведку и двигаются «вглубь» его компьютерной сети (в целях поиска «лакомых» кусочков, в т.ч. SWIFT). Активная «работа» по ряду украинских банков проводилась зимой-весной 2016 года и продолжается до сих пор. Полагаясь на результаты наших исследований и работу по предотвращению угроз, можем с уверенность говорить об атаках на, как минимум, шесть украинских банков. В одном из банков деньги были успешно украдены, еще в трёх – угрозу удалось ликвидировать; ситуация с остальными банками пока непонятна. Кроме этого, следует отметить, что имеется информация об атаках на банки России и Латвии. Вместе с тем, в виду отсутствия проверенной информации, дабы не вводить в заблуждение общественность, мы не будем приводить конкретные суммы хищений.
Отличительной особенностью этой череды атак является то, что злоумышленники сделали упор на «ручную» работу, применив публично доступные фреймворки (факт использования специальных, истинно вредоносных программ, таких как Carbanak, Buhtrap, в т.ч. их модулей, на данный момент не установлен). Кроме того, выявлены программы, функционал которых предполагает некую частичную автоматизацию работы злоумышленника при атаках на SWIFT. На этапе пост-эксплуатации (после взлома) злоумышленники пребывают в атакуемой сети незамеченными на протяжении продолжительного времени. Такая скрытность достигается использованием специфических протоколов для инкапсуляции в них «вредоносного» трафика (удаленное выполнение команд, связь с командно-контрольными серверами и др.). Насколько нам известно, то схема атаки сводится к получению злоумышленником доступа к компьютеру оператора с программным обеспечением для работы со SWIFT. После этого, злоумышленник может либо самостоятельно инициировать платежи, либо же, модифицировать существующие, но еще не отправленные в работу. Чтобы ответить на вопрос «как именно воруют деньги» и «как защититься», необходимо проанализировать процесс отправки SWIFT-платежа и определить – на каком этапе возможно вмешательство. Вероятно, что в качестве защитной меры целесообразно использовать механизмы дополнительной верификации платежа.
Эта угроза абсолютно реальная. Как видим, вновь вектор атаки направлен не на клиентов банков, а, в большей мере, на инфраструктуру и активы самого банка. Нацеленность на украинские банки может говорить о том, что, во-первых, в этих банках есть деньги, во-вторых – в инфраструктуру легче и/или удобнее проникнуть (возможно, есть «знакомые» и/или известно устройство систем, сети и процессов), а в-третьих, что деньги искать уже никто не будет (ну, например, если банк будет ликвидирован).