ПИР-банк потерял 58 млн через бэкдор Carbanak
Опубликовано: 28.08.2018
ПИР-банк лишился 58 млн рублей с корреспондентского счета в ЦБ РФ в результате кибератаки в ночь с 4 на 5 июля.
Эти счета используются банками для отображения транзакций, производимых между их клиентами. Глава Сбербанка Герман Греф сообщил ТАСС, что ответственность за нападение несет группировка, проникшая в системы через бэкдор Carbanak.
Одноименная группировка известна с 2013 года. В 2014-м она привлекла к себе внимание экспертов «Лаборатории Касперского», когда похитила со счетов сотен банков в общей сложности 1 млрд. долл. Удивление аналитиков вызвал как масштаб кражи, так и выбор объектов для целевых атак — вместо нападений на клиентов Carbanak атаковал сами финансовые учреждения.
Главная отличительная черта этой APT-группировки — проникновение в систему в обход защитного ПО, даже если оно было разработано эксклюзивно.
Как заявили представители ФинЦЕРТ, вредоносное ПО, скомпрометировавшее систему, не подлежит идентификации со стороны актуальных средств защиты. Скорее всего, оно проникло в финансовую организацию через фишинговое письмо.
Стоит отметить, что за последние полгода это первый подобный инцидент. Хотя хищение не нанесло существенный ущерб деятельности ПИР-банка — до атаки его запас капитала был равен 740 млн рублей, — оно угрожает безопасности всего финансового рынка.
Еще одна особенность прошедшей атаки — взлом ключей Автоматизированного рабочего места клиента Банка России (АРМ КБР). По сути, злоумышленники получили полный доступ к корсчету, идентичный тому, который имеют сотрудники учреждения.
В связи с этим ПИР-банк был вынужден полностью прекратить любые операции на срок с 4 по 5 июля. Представители кредитной организации заявили, что полностью восстановят деятельность 6 июля.
Опасность нападения подтверждается и способом, который злоумышленники использовали для вывода похищенных средств. Преступники перевели деньги на карты физических лиц, клиентов 22 банков, входящих в топ-50 крупнейших кредитных организаций России, и той же ночью обналичили часть украденного в разных регионах страны.
Центробанк также подтвердил факт хищения, добавив, что в настоящее время специалисты ФинЦЕРТ занимаются расследованием инцидента и не могут дать подробных комментариев.
В 2017 году для своих атак злоумышленники пользовались сервисами Google Forms и Google Sheets в качестве канала связи с C&C. Таким образом они пытались скрыть свою деятельность в трафике известной IT-компании, который не блокируется большинством организаций.