SWIFT столкнулась с хакерской атакой

15 декабря т.г. в России зафиксирован первый случай успешной атаки на банк с выводом денег за границу по международной системе передачи фининформации SWIFT. Предварительно выявлена причастность к атаке группировки Cobalt. В мире подобные случаи кибератак с использованием SWIFT уже имели место. Но в последний раз в качестве "слабого звена" могла выступить не SWIFT, а атакованный банк, название которого не раскрывается, но указывается, что в ходе недавней проверки ЦБ обнаружил в нем проблемы в части информационной безопасности.

Атака была особенна выводом преступниками денежных средств через SWIFT, от использования которой до настоящего времени пор хакеры в России воздерживались. О сумме хищения информации пока нет.

По сообщению компании Group-IB, предотвращающей и расследующей киберпреступления, атака была организована группировкой Cobalt. Хакеры проникли в банк с помощью вредоносного вируса, который группировка разослала несколько недель назад в банки, причем рассылка зловредов - черта, характерная для Cobalt. В среднем от проникновения до вывода денег прошло 3-4 недели, в среднем было похищено 100 млн руб.

В отчете FinCERT, структурного подразделения ЦБ по информбезопасности, указано, что группа Cobalt - это главная угроза для банков. По данным Group-IB, группировка успешно провела, как минимум 50 атак на банки разных стран мира. На сегодняшний день известно, что они организовала и успешно провела свыше 10-ти атак в России, и каждая из них привела к хищению денежных средств в особо крупных размерах.

Как говорят эксперты, атаку 15 декабря от ставших уже привычными атак отличает только способ вывода средств, так как до сих пор, атакуя банки, хакеры не использовали SWIFT.

В мире такого рода хищения не редки. Например, в феврале прошлого года у хакеров появился доступ к аккаунтам сотрудников бангладешского Центробанка и они направили запросы на перевод денежных средств, списание которых происходило со счетов ЦБ в нью-йоркском Федеральном резервном банке. Сотрудниками ФРС была одобрена лишь часть трансакций — свыше $80 млн "перекочевало" на счета казино на Филиппинах. И только в одной операции засомневались: инструкция на перевод средств содержала ошибку в слове «фонд», а проверка выявила отсутствие в природе указанного получателя денег. В апреле того же года SWIFT осуществила рассылку 11 тыс. своих клиентов уведомлений, указав о выявлении множества случаев отправки хакерами фиктивных платежных поручений, имитирующих системные сообщения. Чуть позже, в мае SWIFT рассказала про вторую крупную кибератаку. Тогда, по словам пресс-секретаря SWIFT Наташи де Теран, с атакой пришлось столкнуться коммерческому банку. Впрочем, его названия и принадлежность к государству озвучены не были.

В SWIFT не комментируют «отдельных клиентов», но подчеркивают свое серьезное отношение к кибербезопасности и изучение всех угроз, влекущее за собой принятием соответствующих мер. Доказательства того, что был какой-то несанкционированный доступ к сетям SWIFT или ее службам информобмена, отсутствуют. В случае с Россией SWIFT действительно не являлась объектом атаки. По словам директора по методологии стандартизации Positive Technologies Дмитрия Кузнецова, возможно единовременное подключение среднестатистического банка к 5-6 разным системам — к примеру, международным Visa, MasterCard, SWIFT, НПС и еще 2-3 системам денежных переводов. И преступники, попадая в банковскую инфраструктуру и получая доступ к любой системе, занимаются выводом денег. Иными словами, по большому счету речь идет не про какую-то специфическую атаку на SWIFT.

Это подтверждает и Центробанк. По словам заместителя начальника ГУ безопасности и информзащиты ЦБ Артема Сычева, преступники, заразив банк, фактически могли управлять им, то есть им была доступна возможность вывода средств каким угодно способом. вполне возможно, выбор пал на SWIFT только потому, что злоумышленникам было интересно вывести средства именно за границу. Деньги могут находиться в Азии, Европе, Америке. По всей видимости, обналичить их там не так рискованно, чем в России. Причем незадолго до атаки в банке была проведена проверка ЦБ с предъявлением первому по ее окончании определенных претензий по уровню информбезопасности и предоставлением рекомендаций. Но успел ли банк их выполнить, неизвестно.