?

Log in

No account? Create an account

Previous Entry | Next Entry

ПИР банк в результате хакерской атаки лишился $1 миллиона

ПИР банк в результате хакерской атаки лишился $1 миллиона

Хакеры взломали российский банк и вывели из него почти миллион долларов, используя давно устаревший роутер. Жертвой стала московская кредитная организация ПИР банк.


Старый роутер и денежные мулы

Российская компания Group-IB опубликовала результаты расследования инцидента в ПИР банке, в результате которого кредитная организация лишилась почти $1 млн. Атака была совершена еще в начале июля 2018 г. Тогда с корсчета ПИР банка в Банке России хакеры вывели около 58 млн руб., распределив их по счетам в 22 крупнейших банках с последующим оперативным обналичиванием украденного.

Из российского банка украли http://img12.txapela.ru/0/e/d/f/7/70d28754b430350e99e1f545d5d_prev.jpg млн через старый роутер

Эксперты Group-IB заявили, что за атакой стояли участники киберкриминальной группировки MoneyTaker, которые уже два года терроризируют банки в США и России.

Злоумышленникам удалось захватить контроль над старым, уязвимым роутером в одном из региональных подразделений банка и с его помощью смогли проникнуть в локальную сеть организации. Группировка Money Taker использовала этот метод уже как минимум трижды.

Просочившись во внутренние сети банка, хакеры с помощью вредоносных программ обеспечили себе там устойчивое присутствие. Им также удалось подключиться к автоматизированному рабочему месту клиента Банка России (АРМ КБР), тем самым получив возможность выводить деньги с корсчета ПИР банка.

Из российского банка украли http://img11.txapela.ru/b/a/e/8/7/9d37316fa87dc41878294fb6093.jpg млн через старый роутер

Следы замести не удалось

В ночь с 3 на 4 июля 2018 г. злоумышленники осуществили вывод средств. Спустя несколько часов они все уже были обналичены так называемыми денежными мулами в банкоматах по всей стране. Злоумышленники также успели очистить системные журналы ОС, журналы прикладных систем и удалить ряд системных файлов на множестве компьютеров ПИР-банка, — все для того, чтобы замести следы.

«Утром 4 июля, обнаружив многочисленные несанкционированные транзакции в общей сложности на несколько десятков миллионов рублей, сотрудники банка обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР, однако оперативно приостановить все финансовые переводы не удалось. Большая часть украденных средств была переведена на несколько десятков карт крупнейших банков России и сразу же обналичена сообщниками хакеров — мулами, привлекаемыми к финальному этапу вывода денег из банкоматов», — говорится в отчете Group-IB.

Несмотря на попытки преступников скрыть следы преступления, киберкриминалисты Group-IB смогли пошагово отследить все их действия и установить использованные инструменты.

Выяснилось также, что злоумышленники оставили на серверах ряд так называемых реверсшеллов (reverse shell), программ, которые подключались к серверам, контролируемым злоумышленниками, и ожидали новых команд. Очевидно, хакеры планировали вернуться «за добавкой». Но все эти программы были вычищены из сети банка.

Carbanak не виноват

Из российского банка украли http://img11.txapela.ru/0/6/5/4/2/6be8b153ccc87ef6791c64d88ae_prev.png млн через старый роутер

Примечательно, что ранее глава Сбербанка Герман Греф заявил, что атаку на ПИР банк совершила группировка Carbanak. Эксперты Group-IB опровергают эту информацию, но отмечают, что группа MoneyTaker ничуть не менее опасна и что, помимо денег, злоумышленников часто интересует документация о системах межбанковских платежей, которая затем используется для подготовки дальнейших атак.

«Совершенно очевидно, что мы имеем дело с международной группировкой, которая имеет достаточные ресурсы для проведения весьма масштабных операций, включающих найм “денежных мулов” по всему миру, — считает Дмитрий Гвоздев, генеральный директор компании “Информационные технологии будущего”. — Пока трудно сказать, действует ли группировка MoneyTaker, исходя из исключительно финансовых интересов, или, как это становится модным в последнее время, преследует также какие-то политические цели, но для жертв их атак это и не так важно.

Из российского банка украли http://img12.txapela.ru/5/2/8/3/3/4ee06dc71078cfc81c2579c9b47.jpg млн через старый роутер

Важнее — быть готовыми противостоять подобным атакам. От целевой атаки сложно защититься, но нужно хотя бы соблюдать правила гигиены информбезопасности — отслеживать собственный парк устройств и новости о выявленных в них уязвимостях, включая zeroday, и минимизировать количество возможных “точек входа” за счет своевременного обновления прошивок, создания патчей для маршрутизаторов и других устройств интернета вещей.





Buy for 10 tokens
Buy promo for minimal price.

Comments

( 13 comments — Leave a comment )
ivalnick
Jul. 24th, 2018 03:24 pm (UTC)
Я конечно всё понимаю, но взять под контроль АРМ КБР и доступ к ключевому носителю?!
Там службы безопасности вообще не было?
ab_dachshund
Jul. 24th, 2018 04:33 pm (UTC)
Там вообще не было никаких хакеров, наверняка сами и украли. Ну может не "сами" в смысле директорат - но точно кто-то изнутри.
ivalnick
Jul. 24th, 2018 04:36 pm (UTC)
Вот и я бы в первую очередь "крота" искал.
ab_dachshund
Jul. 24th, 2018 05:02 pm (UTC)
Я пару раз в жизни тоже свои косяки на хакеров списывал.

Вот, помню, в нулевых открыл для себя интернет-телевидение, смотрел его фоном по 8 часов две недели. Пока не пришел счет за трафик. О, там такие были злобные хакеры, я их героически искал, закрывал уязвимости, все дела. В результате расследования я получил неопровержимые доказательства, что это был взлом, и даже заставил провайдера скинуть со счета 30% (как-то умудрился их убедить что это их вина), а на остальное дать рассрочку - за что меня похвалило начальство.

ЗЫ. Вообще если айтишник начинает говорить про "интернет вещей" - он наверняка какую-то пакость задумал, в стиле "проблемы 2000".
ivalnick
Jul. 24th, 2018 05:16 pm (UTC)
Какая знакомая тема! :-)
Одна моя коллега в те же времена на работе интернет-радио послушала. Вот только разбираться ей пришлось с нашим системным администратором, аргументы которого для начальства были куда весомее.
Ну и другой коллега, который в командировке футбольный матч на ноутбуке посмотрел, подключив его к Интернету через свой сотовый телефон.

Мне как раз в конце 90-х и начале 2000-х довелось поприсутствовать при нескольких разборах ситуаций с банк-клиентом, но на "злобных хакеров" удалось повесить вину только один раз: они стукнули по голове директора, отобрали у него сумку с ноутбуком, в которой лежали дискеты с ключами и блокнот с паролями. Да и то я до сих пор уверен, что сделано это было по наводке...
ab_dachshund
Jul. 24th, 2018 08:46 pm (UTC)
Ну так свои косяки на других вешать - это в принципе не всем доступное искусство. У банка "Пир", похоже, получилось.
finnskij
Jul. 25th, 2018 03:03 pm (UTC)
Работают люди над своими программами... :(
А тут - конкретно про ПИР и расследование Group-IB.

Edited at 2018-07-25 03:08 pm (UTC)
ivalnick
Jul. 25th, 2018 03:20 pm (UTC)
Ну... Я в восхищении:
- "Сисадмин одного из российских банков мог с домашнего компьютера заходить на сервера банка. Это стало точкой входа — через него хакеры проникли в системы банка и почти три недели свободно передвигались внутри";
- "В банке стоял антивирус и он почти ежедневно "орал", фиксируя, как атакующие сканируют порты серверов и рабочих станций и используют различные хакерские инструменты. На "тревогу" никто не обращал внимания".

Сисадмин в доле. Учтем.
Безопасник тоже.

--- --- ---

Далее:
- "Проникнув в основную сеть банка, злоумышленники смогли получить доступ к АРМ КБР (автоматизированному рабочему месту клиента Банка России), сформировать платежные поручения и отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета."
- "Утром 4 июля, обнаружив многочисленные несанкционированные транзакции в общей сложности на несколько десятков миллионов рублей"

В доле тот, кто не вытащил ключ из АРМ КБР или обеспечил доступ АРМ КБР в Интернет.

--- --- ---

Резюмируя:
1) При правильно настроенной политике безопасности АРМП КБР недоступен не то что из внешней, но и из внутренней сети.
2) АРМ КБР, в приличном банке, не работает в ночное время в автоматическом режиме.

Могу сослаться на профессионала: http://evgen.me/zashhita-arm-kbr/

3) Компания, в которой я работаю, является разработчиком ПО, которое взаимодействует с АРМ КБР. За всё это время, к его рабочей версии, я не то что физического, но и логического доступа получить не смог.

Хакерские атаки на АРМ КБР это оправдания для дефективных администраторов и безопасников.
finnskij
Jul. 25th, 2018 03:38 pm (UTC)
При правильной :(

За 1 минуту вспомнил - в одной известной мне конторе (не банке) был включен удаленный доступ сисадмину и внешнему программисту. В общую сеть, где есть одна из бухгалтерских машин с доступом к банку для платежей. Несколько лет, все и забыли об этом. Пока не вспомнили и не отключили.

Поэтому - а почему и нет?
ivalnick
Jul. 25th, 2018 03:50 pm (UTC)
Я сейчас перебрал в памяти полсотни знакомых мне безопасников из банков. Вот я скорее поверю в то, что любой из них поедет ночью в Купчино, оставит там свою машину с настежь открытой дверью, положив на водительское сидение ключи и документы, включая ПТС, а сам вызовет такси и на две недели улетит в Турцию.
Вот в это - я еще могу поверить.
Ну может пьяный был или влюбился... :-)
finnskij
Jul. 25th, 2018 05:16 pm (UTC)
Или болел или был в отпуске. Сам сделал себе вход для контроля всего, потом забыл отключить. Если из Apple под мышкой выносят сервак (а он работает под Linux :), а вынесший сотрудник перед этим сливает по сети наружу 40ГБ за месяц - то кому можно верить...
ivalnick
Jul. 25th, 2018 05:26 pm (UTC)
Я не могу удержаться!

"Верить в наше время нельзя никому, порой даже самому себе. Мне — можно." (с)
livejournal
Jul. 25th, 2018 05:25 am (UTC)
ИЗ РОССИЙСКОГО БАНКА УКРАЛИ $1 МЛН ЧЕРЕЗ СТАРЫЙ РОУТЕР
Пользователь sell_off сослался на вашу запись в своей записи «ИЗ РОССИЙСКОГО БАНКА УКРАЛИ $1 МЛН ЧЕРЕЗ СТАРЫЙ РОУТЕР» в контексте: [...] маршрутизаторов и других устройств интернета вещей. https://avroraiwa.livejournal.com/3715520.html [...]
( 13 comments — Leave a comment )

Profile

avroraiwa
avroraiwa

Latest Month

November 2018
S M T W T F S
    123
45678910
11121314151617
18192021222324
252627282930 

Tags

Powered by LiveJournal.com
Designed by yoksel