Російські хакери змінили курс рубля на 15% за допомогою вірусу
Йдеться про інцидент з казанським "Енергобанком" у лютому 2015
Російські хакери зламали систему безпеки регіонального банку РФ і за допомогою вірусу змогли змінити курс рубля на біржових торгах більш ніж на 15%. Про це повідомили у прес-службі компанії з кібербезпеки Group-IB.
Як зазначається у звіті, мова йде про казанський "Енергобанк".
Зокрема, хакери використовували вірус під назвою Corkow Trojan. За даними Group-IB, в результаті атаки банк розмістив у лютому 2015 року накази на понад 500 мільйонів доларів за неринковим курсом. Дії кіберзлочинців викликали дуже велику волатильність протягом шести хвилин, що дозволило здійснити операцію на купівлю доларів за курсом 59,0560 і через 51 секунду продати за курсом 62,3490, йдеться в огляді.
Шкідливе програмне забезпечення, застосоване для атаки, здатне відкрити на комп'ютері бекдор (канал віддаленого управління) через сайти або файли, що легітимно виглядають, і примушувати його до виконання команд хакерів. Вірус Corkow постійно оновлюється для обходу антивірусних програм. Він проник до 250 тисяч комп'ютерів по всьому світу і заразив більше ста фінансових інститутів.
Як зазначається, засоби антивірусного захисту не здатні ефективно протистояти цій загрозі. Згідно з дослідженням, у всіх банках, де зафіксували цю шкідливу програму, був встановлений і коректно працював антивірус. При цьому шкідлива програма може перебувати в мережі непоміченою більше шести місяців.
Використовуючи шкідливе програмне забезпечення, хакери викликали серйозні коливання курсу долара, йдеться у звіті Group-IB. За 14 хвилин хакери домоглися аномальної волатильності, що дозволило купувати долар за 55 рублів, а продавати по 62 рублі. До інциденту трейдери торгували в ринковому діапазоні 60-62 руб. за долар.
Своєю чергою, "Енергобанк" стверджував, що тоді його втрати склали 244 млн рублів за рахунок цих угод. Втім, доказів того, що хакери отримали прибуток від цієї операції, немає. Пізніше Московська біржа повідомила, що її системи не було зламано в результаті даного інциденту.
Розслідування Центробанку РФ не встановило маніпуляцій на валютному ринку, також регулятор раніше спростовував інформацію про стороннє втручання до торговельної системи "Енергобанку": за даними ЦБ, ці заявки виставляв сам банк.
За даними Group-IB, на волатильності заробили звичайні клієнти біржі. "У результаті цієї махінації банк зазнав великого фінансового і репутаційного збитку, оскільки багато гравців на ринку не довіряють версії зі зломом і охоче все списують на помилку оператора торговельної системи", - йдеться в огляді.
Як заявив РБК керівник відділу розслідувань і сервісу кіберрозвідки Group-IB Дмитро Волков, "Енергобанк" може стягнути свої втрати з тих, хто відповідальний за проникнення шкідливого забезпечення до торговельної системи. "Однак цих осіб потрібно ще встановити", - додав експерт.
Наприкінці березня 2015 року комітет з валютному ринку Московської біржі рекомендував правлінню біржі виключити "Енергобанк" зі складу учасників торгів валютного ринку через недостатню захищеність системи інформаційної безпеки банку. Угоди з "Енергобанком" у той день укладали три брокерські компанії: "Фінам", БКС і "Відкриття Брокер", клієнти яких купували валюту за нижчим курсом.
Банк через суд зажадав від брокерів компенсувати свої втрати. З "Відкриття" він вимагав 117,3 млн руб., з БКС - 118,5 млн і з "Фінама" - 7,8 млн руб., однак у березні Вахитовський районний суд Казані відмовив у задоволенні позову на тій підставі, що "Енергобанком" також було подано заяву до правоохоронних органів.
Слідство веде МВС Татарстану, яке порушило за заявою банку кримінальну справу за статтею 272 КК РФ (неправомірний доступ до комп'ютерної інформації). У квітні слідчі органи накладали арешт на кошти клієнтів "Фінама", "Відкриття" і БКС. В цей же день татарстанське МВС заявило про те, що торги 27 лютого від особи "Енергобанку" пройшли після впровадження комп'ютерного вірусу. При цьому слідство у кримінальній справі було вирішено продовжити.
Як зазначається в огляді Group-IB, в серпні 2015 року стався інший важливий інцидент з використанням розрахункової системи, що об'єднує близько 250 банків і дозволяє знімати кошти з карток Visa і MasterCard за вигідними тарифами. Тоді через банкомати одного з учасників цієї розрахункової системи було видано кілька сотень мільйонів рублів, котрі, як з'ясувалося пізніше, були результатом хакерської атаки з використанням того самого трояна Corkow.
Нагадаємо, раніше стало відомо про те, що Visa і MasterCard уникли збитку від кібератак хакерів у РФ.
Раніше групу російських хакерів запідозрили у причетності до блекауту в Україні.
За оцінкою "Лабораторії Касперського", збиток від дій російськомовних хакерів склав понад 790 мільйонів доларів за останні чотири роки.