Финансовая сфера

Банковское обозрение


  • Илья Сачков (Group-IB): Логика преступников понятна: больше денег, меньше рисков
31.10.2017 Интервью

Илья Сачков (Group-IB): Логика преступников понятна: больше денег, меньше рисков

На вопросы «Б.О», касающиеся противостояния целевым атакам на банки, ответил Илья Сачков, генеральный директор и основатель Group-IB


— На сайте Group-IB указано, что 2,5 млрд рублей составила сумма хищений из банков, осуществленных APT-группировками со II квартала 2015 года по I квартал 2016 года. Какие можно привести конкретные примеры? Есть ли более свежие данные?

— В прошлом году целевые атаки представляли наибольшую опасность для оте­чественных банков — ущерб финансовых организаций от целевых атак вырос почти на 300%, а общая сумма хищений составила, по нашим оценкам, 2,5 млрд рублей.

Как так вышло? Более 2/3 хищений приходилось на преступную группу Buhtrap. С августа 2015 года по февраль 2016-го эта группа совершила 13 успешных атак на российские банки, похитив 1,8 млрд рублей (25 млн долларов). В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка. В начале 2016 года исходные коды Buhtrap оказались выложены в открытый доступ на хакерском форуме, после чего программа стала использоваться в атаках на юридические лица уже другими преступниками (сама группа приостановила атаки на банки).

Другая причина такого взрывного рос­та состоит в том, что к целевым атакам подключились группы, ранее специализировавшиеся на хищении денег у клиентов банков — юридических лиц. Первые масштабные целевые атаки на российские банки мы зафиксировали еще в 2013 году. Если в 2014 году было известно о двух хакерских группах, Anunak и Corkow, проводивших целевые атаки, то в 2015 году их было три (Anunak и Corkow, Andromeda), а в 2016 году — четыре (Buhtrap, Lurk, Cobalt, MoneyTaker). Логика преступников понятна: больше денег, меньше рисков.

Большинство целевых атак было в России — все свои новые вирусы, программы, шаблоны атак хакеры сначала обкатывали на российских банках, а потренировавшись, переключились уже на международные финансовые учреждения. Кроме управления банкоматами киберпреступники старались получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

Мы также долго наблюдали за тем, как хакеры другой группировки на форумах искали специалистов по SWIFT и международным переводам. Один из участников форума утверждал, что в его бот-сети были компьютеры, входящие в сети немецких банков и с доступом к SWIFT. Недавняя успешная атака на российский банк с АРМ КБР (автоматизированное рабочее место клиента Банка России. — Ред.) подтвердила, что в распоряжении злоумышленников есть инструмент для автоматической подмены платежей в системе межбанковских переводов. После определенной адаптации он может быть использован для атак на системы SWIFT в любой точке мира.

— Хотелось бы подробнее узнать о решении TDS и вообще о методах раннего преду­преждения киберугроз.

— Думаю, интересно будет начать рассказ с небольшой истории. Осенью 2015 года в одном из российских банков произошел неприятный инцидент. Хакерам удалось получить доступ к АРМ КБР и создать фиктивное платежное поручение — десятки миллионов рублей ушли на счета подставной фирмы. Сразу после перевода, заметая следы, злоумышленники вывели компьютер из строя. IT-служба банка начала собственное расследование, но за два месяца не сильно в этом преуспела. Пригласили Group-IB.

Оказалось, что еще за месяц до атаки IT-администраторы заметили подозрительные обращения из сети банка к IP-адресу 85.93.5.87 с разных компьютеров, причем инициатором всегда был системный процесс svchost.exe. Антивирусное сканирование результатов не дало. Тогда мы установили в банке нашу разработку — TDS. Этот программно-аппаратный комплекс, позволяющий анализировать сетевой трафик, обнаруживает работающие в сети вредоносные программы. На TDS в банке был перенаправлен весь исходящий из сети трафик, и уже через две минуты после установки был найден компьютер с установленным ПО для удаленного администрирования Lite Manager. Программный модуль работал скрытно и устанавливал соединения с интернет-ресурсом rus-gazeta.biz. ПО было установлено под учетной записью администратора домена за день до инцидента с использованием программы PsExec, которая позволяет управлять компьютером удаленно посредством терминала и входит в пакет SysInternals от компании Microsoft. Эта информация помогла восстановить схему кражи. «Железо» оказалось умнее хакеров.

Мы достаточно рано поняли, что на одних расследованиях сложно сделать масштабируемый международный бизнес. Поэтому от услуг мы перешли к продуктам и технологиям. Наш флагманский продукт — сервис киберразведки Threat Intelligence — ускорил разработку новых продуктов. Так появилась система обнаружения целевых атак TDS, которая выявляет угрозы в корпоративной сети. Еще две наши разработки — Secure Bank и Secure Portal — были созданы специально для банков. Например, Secure Bank теперь защищает пользователей «Сбербанк Онлайн» — 50 млн физических лиц и 2 млн юрлиц («Сбербанк Бизнес Онлайн»).

Первыми клиентами нашего сервиса Threat Intelligence стали зарубежные банки. Это неслучайно. Банки и крупные корпорации тратят большие деньги на информационную безопасность, специалистов, новые технологии защиты, но количество инцидентов постоянно растет, а тактика действий атакующих постоянно меняется. И защититься без актуальных знаний о том, как действуют атакующие, невозможно.

Готовясь, например, к целевой атаке на банки, злоумышленники проводят огромную подготовительную работу: приобретают необходимые экслойты, разрабатывают трояны и тестируют их (как правило в России), нанимают партнеров, в том числе команду дропов, которая будет выводить украденные деньги, создают или покупают виртуальные личности для регистрации доменов, аренды серверов, покупки VoIP и многое другое.

Зная это заранее, преступление можно отслеживать и предотвращать. Именно этим и занимается Threat Intelligence. В отличие от стандартных средств защиты, Threat Intelligence контролирует то, что происходит за пределами защищаемого периметра, и позволяет выявить весь спектр рисков — от атак с использованием методов социальной инженерии до незаконного использования бренда.

Услуги Intelligence-компаний все более востребованы во всем мире. Например, у крупного английского банка восемь поставщиков данных Threat Intelligence. Одни Intelligence-компании специализируются на уязвимостях «нулевого дня», другие — на кибертерроризме. Третьи — на «китайских хакерах». Если информацию об угрозах подтверждают два источника — к ней больше доверия, а если три — еще лучше.

Для того чтобы объединять и анализировать данные из разных источников, используются Threat Intelligence-платформы — TIP. В прошлом году мы стали первой российской компанией, которая интегрировалась во все такие платформы — Ecleсtic IQ, Anomali, ThreatConnect. Теперь наряду с информацией от ведущих зарубежных Threat Intelligence-компаний клиенты могут на платформах TIP подписаться на информацию от Group-IB.

В 2016 году Group-IB стала лидером рынка в России по исследованию киберугроз, по оценке международной аналитической компании IDC. Наш сервис киберразведки Intelligence вошел в отчеты Gartner и Forrester по рынку Threat Intelligence вместе с глобальными лидерами в этом сегменте. География наших подписчиков охватывает четыре континента. Мы обмениваемся данными с Interpol и Europol, а также сотрудничаем с регистраторами доменных имен и хостинг-провайдерами по всему миру для оперативной блокировки опасных сайтов.

— Как работает центр расследования высокотехнологичных преступлений? Какие примеры его реальных достижений применительно к финансовому сектору России можно привести?

— Group-IB начинала свой бизнес в 2003 году с расследований киберпреступлений, таких как взлом почты, сайтов, DDoS-атаки, кража денег из системы дистанционного банковского обслуживания, а также компьютерной криминалистики. Изначально монополия на расследование киберпреступлений была у государства — у Бюро специальных технических мероприятий (БСТМ) МВД и Центра информационной безопасности (ЦИБ) ФСБ.

Group-IB была одна из первых частных компаний в России, которая в то время занималась расследованием компьютерных преступлений. Госорганы вначале к нам относились с недоверием: как вчерашние студенты могут проводить расследования компьютерных преступлений, от которых зависит приговор суда? Мы смогли завоевать доверие госструктур безупречной работой и качественными криминалистическими экспертизами.

Мы — не киберполиция. Мы не занимаемся оперативно-розыскной деятельностью, не задерживаем и не арестовываем киберпреступников. Наша задача, изучив инцидент, собрать необходимые цифровые доказательства и построить цепочку связей, рассуждений, коррелирующих признаков, которые помогут службе безопасности компании или правоохранительным органам отправить преступников за решетку.

Вот несколько расследований, которые были реализованы в тесном контакте с отечественными правоохранительными органами.

Группа Cron похищала деньги с банковских счетов пользователей. Ежедневно заражали 3,5 тыс. телефонов с ОС Android и меньше чем за год установили вредоносную программу почти на миллионе устройств. Общий ущерб от действий Cron оценивается как минимум в 50 млн рублей. В 2016 году Cron взял в аренду банковский мобильный троян Tiny.z — более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков. В итоге группа была ликвидирована. В ноябре 2016 года в шести регионах России задержаны 16 участников Cron. Последний активный участник группы был задержан в начале апреля в Санкт-Петербурге.

Чем известна Carberp? Это самая большая в России организованная преступная группа, похитившая более 250 млн долларов со счетов клиентов наших банков, заразившая своим вредоносным ПО более 1,5 млн машин. Банду тоже удалось ликвидировать. Это первый в правоохранительной практике случай задержания всех фигурантов группы. Организаторы группы осуждены на сроки от пяти до семи лет.

— Кто такие «киберфашисты»?

— Они известны тем, что совершали хищения с использованием sms-банкинга, создавали фишинговые страницы для хищений данных пластиковых карт, логинов и паролей от интернет-банкинга. Обладая логином, паролем, а также доступом ко всем sms, в том числе от банков с sms-кодами, злоумышленник мог успешно совершать банковские переводы. Свою программу они назвали «пятый рейх», а в системе управления использовали нацистскую символику. В итоге задержаны четыре человека, и возбуждено уголовное дело.

Конечно, нельзя не вспомнить о Hodprot, одной из старейших российских киберпреступных групп, ответственной за хищение около 125 млн рублей со счетов клиентов банков. Для конспирации злоумышленники использовали серверы управления, расположенные в Нидерландах, Германии, Франции и США. Итог все тот же: задержаны все участники преступной группы, возбуждено уголовное дело.

— Насколько сложно взаимодействовать с правоохранительными органами и силовыми структурами? Какие здесь проблемы: кадры, нормативная база, трансграничный характер преступлений?

— На примере истории Group-IB видно, что частные компании оказывают огромную поддержку в борьбе с киберпреступностью. Государство не всегда может оперативно остановить развитие инцидента, собрать необходимые материалы для исследования, разобраться в обстоятельствах инцидента.

Компьютерная преступность стала масштабнее и опаснее традиционной организованной преступности. По нашим оценкам, суммарный ущерб экономике России от киберпреступности к началу 2016 года достиг 203,3 млрд рублей, или 0,25% ВВП страны, что равняется почти половине бюджетных расходов на здравоохранение в 2015 году!

Только представьте: компьютерное преступление — это единственное преступление в мире, которое за одну секунду можно совершить с территории одной страны на территории других стран, даже в ста странах одновременно.

Члены преступной группы зачастую живут в разных регионах не только России, но и мира, что создает массу юридических проблем. Если члены группы находятся в трех-четырех странах, то о быстром расследовании и кооперации правоохранительных органов можно забыть. Сейчас многие люди, которые в России подпадают под подозрение в совершении компьютерных преступлений, уезжают на Украину, а многие хакеры из Украины приезжают в Россию. Россияне с территории Украины воруют деньги в российских банках, украинцы с территории России воруют деньги в украинских банках, и все остаются безнаказанными. Политическое противостояние между странами используется для того, чтобы скрывать компьютерные преступления.

Юридическая система, которая создавалась человечеством со времен римского права, к преступлениям такого типа не готова. Поэтому, несмотря на то что государство, общество, бизнес тратят на информационную безопасность с каждым годом все больше, атак меньше не становится.

Долгое время киберпреступники чувствовали себя практически в безопасности. Они получали незначительные сроки за гигантские кражи. Сейчас, кажется, отношение меняется. МВД предложило ужесточить уголовное наказание за киберпреступления, увеличив сроки наказания до 5–10 лет.

Подавляющее большинство дел о киберпреступности рассматривают судьи, не являющиеся специалистами в этой области, судьи зачастую не проходят обучения по вопросам, связанным с киберпреступностью. Особо приоритетную задачу представляет собой подготовка сотрудников судебной системы в области законодательства по борьбе с киберпреступностью, сбора доказательств, а также базового и углубленного обучения информационных технологий.

Реальная статистика выявленных и раскрываемых киберпреступлений в России искажена из-за не всегда правильного применения в следственной и судебной практике главы 28 УК РФ, в частности при расширительном толковании элементов содержащихся в ней составов преступлений и фактическом непонимании технических реалий. Расширительно толкуется в практике и предмет рассматриваемых преступлений.

Мы предлагаем проводить курсы повышения квалификации судей и сотрудников правоохранительных органов по вопросам теории информационного права и информационных технологий.

— Какие рекомендации представителям финтеха могли бы дать эксперты компании, чтобы их решения не стали проблемой для бизнеса?

— Мы не занимаемся гомеопатией в сфере информационной безо­пасности, потому что гомеопатия не помогает. Для того чтобы построить правильную стратегию безопасности, надо знать, кто враг, как он действует и какие инструменты использует. Если не знаешь, от кого защищаешься, то защищаться бесполезно. В основе нашей борьбы с врагом лежат знания, опыт разбора инцидентов и технологий. Мы уже много лет занимаемся расследованиями, компьютерной криминалистикой, создаем высокотехнологичные решения. Мы составили несколько простых правил для компаний, как не стать жертвой киберпреступников.

Во-первых, необходимо создать в компании собственный отдел информационной безопасности. Это может быть эксперт-консультант в штате или авторитетная security-компания на аутсорсинге. Важно, чтобы ваш «киберконсильери» знал, что угрожает именно вам и как от этих угроз защититься. А если инцидент уже произошел, знает, как «потушить пожар», минимизировать убытки и сохранить цифровые доказательства для расследования.

Во-вторых, нужно провести тщательную инвентаризацию всей своей IT-инфраструктуры. Особое внимание стоит обратить на защищенность веб-ресурсов (86% веб-ресурсов содержат как минимум одну критическую уязвимость); сетевую инфраструктуру компании (публичный Wi-Fi с доступом в корпоративные сегменты, облако, в котором хранится доступная для сотрудников информация); незащищенные резервные копии.

В-третьих, необходимо позаботиться о цифровой гигиене сотрудников. Сотрудник, который использует Wi-Fi в публичных сетях, — потенциальная жертва. Внедрите политику «нулевого доверия» и проведите тренинг по информационной безопасности. Пусть сотрудники поймут, насколько опасно заражение компьютера через почтовую рассылку и почему так важно использовать двухфакторную аутентификацию. Это азы цифровой гигиены, без их понимания невозможно противостоять преступникам.

В-четвертых, устанавливайте обновления системы и патчи безопасности ВОВРЕМЯ. Если в корпоративной сети остались непропатченные ПК, не позволяйте сотрудникам подключать к сети ноутбуки и флешки, принесенные из дома. Регулярно создавайте резервные копии своих систем.

Наконец, причина успеха многих целевых атак — излишняя вера в то, что стандартные средства защиты, такие как лицензионный и обновленный антивирус, последняя версия операционной системы, использование межсетевых экранов (Firewall) или средств предотвращения утечек (DLP), остановят злоумышленников на одном из этапов развития атаки.

Это не так! Расследования инцидентов показывают, что на зараженном компьютере практически всегда была установлена антивирусная защита популярных антивирусных производителей, а инфраструктура организации достаточно хорошо защищена системами обнаружения вторжений и другими техническими и программными средствами.

Конечно, 100%-ной гарантии защиты от целевых атак на банки не существует, но снизить риски и повысить эффективность защиты банков можно. Вероятно, лучше всего это позволяет сделать использование Threat Intelligence — системы сбора, мониторинга и анализа информации об актуальных угрозах, преступных группах, их тактике, инструментах.






Новости Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ