Двойной взлом «Юнистрима»
Накануне ЦБ обратился к рынку с предупреждением о том, что хакеры взломали банк «Юнистрим» - осуществив фишинговую рассылку с вредоносом с легального адреса банка на адреса других кредитных организаций, о чем их уведомил ФинЦЕРТ (подразделение ЦБ по кибебезопасности). Киберворы осуществляли вывод средств в систему денежных переводов «Юнистрим», посредством подмены получателя средств, по предварительным оценкам, нанесен ощутимый ущерб, но не точная сумма пока раскрыта. Стоит отметить, что это уже эта атака на банк «Юнистрим» стала второй, но есть информация, что в первый раз банк не принял помощь ФинЦЕРТ, решив, что справится сам.
А 19 ноября ФинЦЕРТ обратился к кредитным организациям с предупреждением о том, что разосланные фишинговые письмо содержали вложение - вредоносное программное обеспечение, причем письма были направлены якобы от имени банка «Юнистрим». Как сказали участники рынка, ФинЦЕРТ подчеркивал легальность адреса отправителя вредоносов m.tsutskin@unistream.com - это легальный почтовый адрес банка. Рассылка писем по банкам была озаглавлена: «Попытки хищений». Регулятор настоятельно рекомендовал, чтобы банками удалялась вся входящая корреспонденция от указанной кредитной организации, чтобы они регулярно проводили обновление антивирусных баз, контролировали соединения с указанными в рассылке IP-адресами и т. п.
По словам сотрудников «Лаборатории Касперского», рассылка содержала файл *.scr, после загрузки обращающийся в интернет, чтобы в дальнейшем был скачан еще один вредонос. По словам источника, знакомого с ситуацией, это не вариант мимикрии под действующий банк, а пример реального взлома банка, причем уже второй раз за этот год. Дело в том, что в октябре хакеры, предположительно, входящие в группировку «Кобальт», вывели средства из банка при помощи платежных систем. А банк был заражен сделанной от имени крупной финансовой организации фишинговой рассылкой, которая помогла хакерам с хищением средств (сколько именно они украли - неизвестно).
Из-за второго случая заражения одного и того же банка ФинЦЕРТ решила обратиться с предупреждением об атаках не только к банкам, но и к платежным системам, через которые при этом типе атак осуществляется вывод денег. Ведь хакеры, после взлома системы попросту подменяют информацию получателя перевода, преспокойно забирая средства. Применение такой схемы — явление редкое. Ранее уже сообщали, что группировка "Кобальт" обратилась к системам переводов, применяя новую схему. Хакерами была дважды взломана база "Юнистрима", причем следующим образом: непосредственно в базе по реальным переводам происходила подмена реального ФИО на подставное и перевод поступал нужному лицу. Поскольку переводы были крупными, это более эффективный ход, чем использование для кражи денег карт или платежей.
Представители банка подтвердили информацию о первом взломе (октябрьском). По словам председателя правления КБ "Юнистрим" Кирилла Пальчуна, мы иногда сталкивались с хакерскими атаками, но какие-либо существенные потери в результате их "Юнистрим" не нес. В банке не отрицают наличие атаки, но это не значит, что это была успешная атака. Если же касается говорить об истории этого месяца, то, по мнению главы банка — проникновение в банк хакерам оказалось не по силам. Они попытались получить несанкционированный доступ к почтовому серверу, но эту попытку своевременно предотвратили антифрод-системы банка. Информсистемы банка не пострадали, а указанный инцидент стал известен ЦБ, а также партнерам "Юнистрим", работа систем в штатном режиме продолжается. А рассылку хакеры могли вести, используя любые адреса, не только наши.
По словам экспертов по информбезопасности, вероятно, вчерашняя рассылка с почтового адреса банка — это результат некачественного расследования первого инциндента. По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, если происходит такой инцидент, первое, что делают банки - ликвидируют возможные последствия (восстановление работоспособности систем и пр.). Случаи же проведения полноценного расследования, когда выявляется первоначальный вектор проникновения, анализируется вся инфраструктура на предмет поиска возможных мест закрепления злоумышленника, редки. Но наша практика имеет случаи, когда именно при расследовании по следам инцидента нами фиксировалась повторная активность злоумышленников в данной инфраструктуре, что говорит о повторной попытке вторжения киберпреступников.
По словам источника, знакомого с ситуацией в банке, после инцидента в октябре банку предлагали свою помощь специализирующиеся на информбезопасности компании и ФинЦЕРТ, чтобы провести полноценное расследование и аудит состояния систем информбезопасности банка, но банк решил, что ему хватит своих сил. Тему проведения аудита информбезопасности и расследования предыдущего инцидента в банке комментируют весьма уклончиво. По словам Пальчуна, разумеется, банк работает с крупными компаниями по информбезопасности, постоянно совершенствуя собственные IT-системы.
Вместе с тем, повторный случай грозит колоссальными рисками не только для самого банка, но и для других участников рынка. По мнению Алексея Новикова, важен тот факт, что вредонос рассылался с легитимного почтового ящика. Каждый четвертый случай связан с открытием сотрудниками банка фишинговых писем, если их прислала реальная компания-партнер. Если в нашем случае для рассылки использованы контакты из адресной книги, к которой хакеры тоже могли получить доступ, то фишинговая рассылка будет успешна практически на 100%. И сейчас, уверен эксперт, необходимо сконцентрироваться на проведении оперативного и полноценного расследования вчерашнего инцидента для выявления всей цепочки получателей таких писем и возможной зоны поражения не только банка «Юнистрим», но и его партнеров.
