Украинские банки подверглись хакерской атаке через SWIFT на миллионы долларов
Традиционные средства защиты недостаточны для эффективного противодействия подобным кибератакам
Международные кибергруппировки Carbanak/Akunak и Buhtrap создали и разместили в открытом интернет-доступе набор инструментов для проникновения в банки и другие финансовые учреждения. Об этом по итогам изучения инцидента, связанного с кражей крупной суммы из украинского банка через систему SWIFT, сообщили в пресс-службе киевского отделения ISACA (Information Systems Audit and Control Association).
Как отмечается, традиционные средства защиты - межсетевые экраны и антивирусы - недостаточны для эффективного противодействия подобным кибератакам.
По данным ISACA, после проникновения в банк хакеры несколько месяцев тщательно изучают его работу и внутренние процессы, после чего используют полномочия легитимных пользователей для создания платежей через международную межбанковскую систему платежей SWIFT и систему электронных платежей СЭП, а также атакуют банкоматы и карточный процессинг.
"На данный момент скомпрометированы десятки банков (в основном в Украине и России), из которых украдено сотни миллионов долларов", - говорится в сообщении.
Типичный алгоритм действий злоумышленников выглядит следующим образом:
- Установка на персональный компьютер (ПК) сотрудника банка преступного программного обеспечения (ПО) через зараженное письмо или ссылки. Традиционные антивирусные программы могут быть недейственными, если преступное ПО было только скомпилировано (атака класса APT или ZERO-DAY), упакованно/закриптоване специальной программой-пакером и т.д.
- Преступное ПО инициирует подключение к контрольному центру с ПК пользователя. Поскольку подключение инициируется изнутри банка, большинство банков не блокирует такие контакты.
- Далее с компьютера пользователя проводится изучение внутренней инфраструктуры банка, а также атаки на другие ПК и серверы.
- С помощью специализированных средств, таких как Mimikatz, перехватываются пароли администраторов домена и осуществляется контроль над всеми ПК, подключенных в домен.
- Преступники исследуют работу банка и выявляют наиболее ценные рабочие места и серверы. На них устанавливаются программы, которые перехватывают и передают злоумышленникам копии экрана. Этот процесс длится несколько месяцев.
- Злоумышленники ожидают оптимального времени для атаки (например, когда на корреспондентских счетах больше денег) и выводят средства, используя законные учетные записи пользователей банка, а также выполняют зачистку своих следов.
Напомним, SWIFT ожидает новые кибератаки на банки по всему миру.