В ходе крупной атаки на банки хакерам удалось украсть миллиард долларов

Киберпреступники смогли украсть с помощью хакерской операции Carbanak приблизительно миллиард долларов из ста финансовых компаний по всему миру. Это сообщается в информационном письме от компании «Лаборатория Касперского», которое поступило в редакцию.

Хакерская атака продолжалась в течение 2-х лет, как было установлено при совместном расследовании российской компании с «Интерполом» и «Европолом». Специалисты предполагают, что за данной операцией может стоять международная группировка, в составе которой киберпреступники из Украины, России, а также их европейских стран, в том числе Китая.

Экспертами отмечено, что атаки вышли на новый уровень – теперь совершались кражи не у самих клиентов различных банков, а у компаний. Совершенные атаки банды Carbanak коснулись приблизительно 100 банков, финансовых организаций и других платежных систем из почти 30 стран по всему миру: России, Австралии, США, Болгарии, Германии, Бразилии, Китая, Швейцарии, Украины, Чехии, Канады, Ирландии, Гонконга, Исландии, Тайваня, Марокко, Румынии, Непала, Франции, Пакистана, Испании, Польши, Великобритании, Индии, Норвегии и других.

Наиболее крупные кражи совершались при проникновении в банковские сети – с каждого такого рейда киберпреступники получали до 10 миллионов долларов. От двух до четырех месяцев тратили киберпреступники, чтобы совершить первое проникновение и вывести деньги из системы. Для вывода денег использовали онлайновые платежные системы. Счета мошенники имели в банках Америки и Китая, хотя эксперты не опровергают того, что преступники могли хранить в банках других стран свои украденные деньги.

При помощи стандартных приемов производилось проникновение в сеть организации. Использовали фишинговую атаку персонального компьютера одного из работников организации специально заражали вредоносным ПО. При помощи данного устройства мошенники имели доступ ко всей внутренней сети выбранного банка: обнаружив компьютеры, принадлежащие администраторам систем денежных транзакций, они устанавливали видеонаблюдение за их мониторами для детального изучения работы персонала, чтобы в дальнейшем имитировать их действия при совершении перевода денежных средств на свои счета.

Как следует из пояснения данной особенности атаки Сергея Голованова, который является ведущим антивирусным экспертом «Лаборатории Касперского», что данные кражи из банков имеют отличие от других тем, что хакеры использовали такие способы, которые позволяют им быть независимыми от используемого ПО в банке, даже при условии, что оно уникальное. Киберпреступникам даже не потребовалось взламывать сервисы банков. Они лишь попадали в корпоративную сеть и обучались, как эффективнее замаскировать под легитимные свои мошеннические действия.

Еще одним методом кражи денежных средств было приобретение контроля над некоторыми банкоматами. Ими была активирована команда на выдачу денежных средств в определенное время, а затем к этому моменту кто-нибудь из мошенников подходил к аппарату. Помимо этого применялось вторжение в систему бухгалтерского учета для дальнейшего «раздувания» счета какого-нибудь клиента и перевода «лишних» денежных средств на свои счета. Так как деньги пользователя оставались не тронутыми, он не замечал данную атаку, и тревоги не было.

«Лабораторией Касперского» были выделены косвенные признаки того, что на компьютерах финансовых организаций присутствует вредоносное программное обеспечение Carbanak. К ним относятся файл Paexec, имеющийся в папке Windows\Catalogue; файлы, расширение которых «.bin», в папках по адресу C:\\ProgramData\Mozilla и подпапки All users\%AppData%\Mozilla.

Если система заражена, то ее выдаст наличие в папке по адресу Windows\System32\com\catalogue или Windows\System64\com\catalogue файла svchost и наличие в запущенных задачах сервиса файла, оканчивающимся на «sys», и при всем этом присутствие дублирующих подобных сервисов без этого окончания (так, например, aspnet и aspnetsys).