Українські банки зазнали хакерської атаки через SWIFT на мільйони доларів

Міжнародні кіберугруповання Carbanak/Akunak і Buhtrap створили і розмістили у відкритому інтернет-доступі набір інструментів для проникнення до банків та інших фінансових установ. Про це за підсумками вивчення інциденту, пов'язаного з крадіжкою великої суми з українського банку через систему SWIFT, повідомили у прес-службі київського відділення ISACA (Information Systems Audit and Control Association).

Як зазначається, традиційні засоби захисту - міжмережеві екрани й антивіруси - є недостатніми для ефективної протидії подібним кібератакам.

За даними ISACA, після проникнення до банку хакери кілька місяців ретельно вивчають його роботу і внутрішні процеси, після чого використовують повноваження легітимних користувачів для створення платежів через міжнародну міжбанківську систему платежів SWIFT і систему електронних платежів СЕП, а також атакують банкомати та картковий процесинг.

"На даний момент скомпрометовано десятки банків (в основному в Україні та Росії), з яких вкрадено сотні мільйонів доларів", - йдеться в повідомленні.

Типовий алгоритм дій зловмисників виглядає наступним чином:

1. Встановлення на персональний комп'ютер (ПК) співробітника банку злочинного програмного забезпечення (ПЗ) через заражене лист або посилання. Традиційні антивірусні програми можуть бути недієвими, якщо злочинне ПЗ було тільки скомпільовано (атака класу APT або ZERO-DAY), упаковане/закриптоване спеціальною програмою-пакером і т.д.
2. Злочинне ПЗ ініціює підключення до контрольного центру з ПК користувача. Оскільки підключення ініціюється зсередини банку, більшість банків не блокує такі контакти.
3. Далі з комп'ютера користувача проводиться вивчення внутрішньої інфраструктури банку, а також атаки на інші ПК і сервери.
4. За допомогою спеціалізованих засобів, таких як Mimikatz, перехоплюються паролі адміністраторів домену і здійснюється контроль над усіма ПК, підключеними до домену.
5. Злочинці досліджують роботу банку і виявляють найбільш цінні робочі місця та сервери. На них встановлюються програми, які перехоплюють і передають зловмисникам копії екрану. Цей процес триває кілька місяців.
6. Зловмисники очікують оптимального часу для атаки (наприклад, коли на кореспондентських рахунках більше грошей) і виводять кошти, використовуючи законні облікові записи користувачів банку, а також виконують зачистку своїх слідів.

Нагадаємо, SWIFT очікує нові кібератаки на банки по всьому світу.