Возврат к списку

ПИР банк платит дважды: из банка украли 1 млн долларов через старый роутер

23.07.2018     

Хакеры взломали российский банк, воспользовавшись уязвимостями устаревшего оборудования.

Что произошло

ПИР банк пострадал от хакерской атаки, об этом сообщила российская компания Group-IB. В результате действий злоумышленников, воспользовавшихся уязвимостями старого оборудования, с корсчета московской кредитной организации исчезло около 58 млн рублей. Деньги распределили по счетам 22 крупнейших банков, а затем обналичили.

По версии специалистов Group-IB, опубликовавших отчет о расследовании, к атаке причастны члены киберкриминальной группировки MoneyTaker. Ранее их жертвами становились банки в США и России.

Как действовали хакеры

Злоумышленники обнаружили уязвимость в старом роутере одного из подразделений банка и захватили над ним контроль. После этого проникли в локальную сеть кредитной организации. Ранее Money Taker уже проделывала это с другими банками.

Используя вредоносные программы, хакеры обеспечили себе устойчивое присутствие во внутренних сетях банка, подключились к автоматизированному рабочему месту клиента Банка России и смогли вывести деньги с корсчета ПИР банка.

Деньги вывели в ночь с 3 на 4 июля 2018 года и обналичили их почти сразу в разных банкоматах по всей стране. Для этого прибегли к помощи «денежных мулов» – пособников хакеров. Когда утром 4 июля сотрудники банка обнаружили неправомерные транзакции почти на 60 млн рублей, они обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР.

Слава киберкриминалистам

Несмотря на то, что преступники попытались замести следы – очистить системные журналы ОС, избавиться от системных файлов на компьютерах банка и провести другие мероприятия – киберкриминалисты Group-IB смогли установить все использованные ими возможности. Вероятно, в будущем хакеры собирались вернуться за деньгами. Об этом свидетельствуют обнаруженные на серверах программы – реверсшеллы (reverse shell). Они подключались к серверам и ожидали новых команд от злоумышленников. Специалисты удалили эти программы.

Это еще не все

Кибергруппировки представляют собой опасность тем, что, помимо воровства денежных средств, похищают документы о системах межбанковских платежей. Эта информация бывает полезна для подготовки следующих атак.

Наиболее доступные и самые простые меры информбезопасности, которые может принять каждая организация – обновление прошивок и своевременная замена морально устаревшего оборудования.


Автор:
Екатерина Морозова Обозреватель


Почему в банке использовали старое оборудование?


Есть деньги, но решили сэкономить (54.35%, 25 голосов)
54.35%
Обычный недосмотр (30.43%, 14 голосов)
30.43%
Новый роутер не спас бы (19.57%, 9 голосов)
19.57%
Нет денег на новое (8.7%, 4 голосов)
8.7%

Комментарии
Избранное Подписка Сортировка: Дата
1. BackinSoda 23.07.18 15:22 Сейчас в теме
Это фиаско, братан
Romakon92; Йожкин Кот; seperblunt2; nytlenc; Dorosh; vrednyi_glavred; +6 Ответить
2. VShevelev 16 23.07.18 16:07 Сейчас в теме
У каждой уязвимости есть фамилия, имя и отчество.
Старый маршрутизатор совершенно ни при чем, во внутренней сети должны быть и другие защиты.
nytlenc; vrednyi_glavred; +2 Ответить 1
3. herfis 281 23.07.18 16:22 Сейчас в теме
(2)
У каждой уязвимости есть фамилия, имя и отчество.

ФИО всегда есть у козла отпущения.
Реальная ответственность часто размазана тонким слоем.
Ну, банально - старого главного по этому делу уволили, нового только взяли и при этом начальство ресурсы не выделяет, приоритеты неправильно расставляет и ничего слушать не хочет. Тут либо список ФИО на десяти страницах составляй, либо тупо ФИО генерального записывай.
user769014; seperblunt2; +2 Ответить
4. masticore 23.07.18 18:10 Сейчас в теме
Уже была история:зачем банку был нужен стационарный телефон- потому что звонили через Sipnet (где на городской Москвы и СПБ бесплатно). В итоге находили решение блокировать входящие с Sipnetовских номеров, особенно если он сам задолжал. Эффективность меньше потерь от других, а придраться к блокировщику невозможно- проблему решил, из своего города клиенты почти не звонят. В итоге ограничили балансом 5, затем 10 долларов (которые достаточно держать), а банк не потянул такую маленькую сумму.
5. Gureev 24.07.18 08:06 Сейчас в теме
Потому что затраты на ИТ по остаточному принципу.
На новый поршик владельцу банка бюджет всегда есть, а ИТ сидит на б/у мусоре с авито.
Оставьте свое сообщение