Хакеры взломали российский банк, воспользовавшись уязвимостями устаревшего оборудования.
Что произошло
ПИР банк пострадал от хакерской атаки, об этом сообщила российская компания Group-IB. В результате действий злоумышленников, воспользовавшихся уязвимостями старого оборудования, с корсчета московской кредитной организации исчезло около 58 млн рублей. Деньги распределили по счетам 22 крупнейших банков, а затем обналичили.
По версии специалистов Group-IB, опубликовавших отчет о расследовании, к атаке причастны члены киберкриминальной группировки MoneyTaker. Ранее их жертвами становились банки в США и России.
Как действовали хакеры
Злоумышленники обнаружили уязвимость в старом роутере одного из подразделений банка и захватили над ним контроль. После этого проникли в локальную сеть кредитной организации. Ранее Money Taker уже проделывала это с другими банками.
Используя вредоносные программы, хакеры обеспечили себе устойчивое присутствие во внутренних сетях банка, подключились к автоматизированному рабочему месту клиента Банка России и смогли вывести деньги с корсчета ПИР банка.
Деньги вывели в ночь с 3 на 4 июля 2018 года и обналичили их почти сразу в разных банкоматах по всей стране. Для этого прибегли к помощи «денежных мулов» – пособников хакеров. Когда утром 4 июля сотрудники банка обнаружили неправомерные транзакции почти на 60 млн рублей, они обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР.
Слава киберкриминалистам
Несмотря на то, что преступники попытались замести следы – очистить системные журналы ОС, избавиться от системных файлов на компьютерах банка и провести другие мероприятия – киберкриминалисты Group-IB смогли установить все использованные ими возможности. Вероятно, в будущем хакеры собирались вернуться за деньгами. Об этом свидетельствуют обнаруженные на серверах программы – реверсшеллы (reverse shell). Они подключались к серверам и ожидали новых команд от злоумышленников. Специалисты удалили эти программы.
Это еще не все
Кибергруппировки представляют собой опасность тем, что, помимо воровства денежных средств, похищают документы о системах межбанковских платежей. Эта информация бывает полезна для подготовки следующих атак.
Наиболее доступные и самые простые меры информбезопасности, которые может принять каждая организация – обновление прошивок и своевременная замена морально устаревшего оборудования.