Фотография: Carlo Allegri/Reuters
Киевский филиал международной ассоциации Information Systems Audit and Control Association (ISACA), объединяющей профессионалов в области ИТ-аудита, консалтинга, управления и информационной безопасности, сообщил о краже денежных средств из украинского банка в размере $10 млн. Название банка, из которого были выведены средства, не сообщается, однако известно, что взломщики смогли манипулировать сообщениями межбанковской информационной платформы SWIFT. И это уже не первая подобная атака.
Краткая история взломов SWIFT
Атака на финансовое учреждение была произведена через систему платежей. SWIFT — это международная межбанковская система передачи информации и совершения платежей, которая была основана 1973 году. Атака на украинские банки через эту систему — не единичный случай. За последнее время SWIFT многократно подвергалась хакерским атакам.
Через нее хакером ранее удалось украсть из банка Бангладеш $81 млн. Атака на Центробанка Бангладеш считается одним из самых громких киберпреступлений. Мы писали об этой истории ранее.
Помимо этого, нападениям по аналогичной схеме подвергался также банк Banco del Austro в Эквадоре. В результате кибератаки было похищено $9 млн.Кроме того, в СМИ попадала информация о неудачной атаке на вьетнамский Tien Phong Bank из Вьетнама. По данным специалистов Symantec, за описанными выше атаками может стоять хакерская группировка Lazarus. О группировке Lazarus, и о том, кто, по всей вероятности за ней стоит, можно более подробнее прочитать в опубликованном ранее материале.
Как осуществляется взлом
Сценарий действия злоумышленников один и тот же. После проникновения в банк, хакеры несколько месяцев вникают в его работу, тщательно изучая внутренние процессы. Затем они используют полномочия легитимных пользователей для проведения платежей через международную межбанковскую систему платежей SWIFT Хакеры получают возможность читать транзакции и посылать вместо них свои, подделанные.
А для того, чтобы фальшивые транзакции не попали в логи, запущенная хакерами служба наблюдает за входящими сообщениями и удаляет ответы на эти транзакции из базы. Кроме того модифицируются файлы PCL, отсылаемые через процесс, ответственный за печать логов на лазерном принтере — до печати из них удаляется информация о транзакции, а после печати «затирается» нулями.
Что говорят эксперты по безопасности
«На данный момент скомпрометирована десятки банков, из которых украдено сотни миллионов долларов. В зоне риска, главным образом, банки, находящиеся в России и Украине», — комментируют инцидент специалисты ISACA.
В организации полагают, что хакерам уже удалось проникнуть в большинство украинских банков. На данный момент злоумышленники проводят изучение бизнес-процессов и готовятся к проведению дальнейших масштабных мошеннических операций.
По заявлению президента киевского отделения ISACA Алексея Янковского, банки крайне боятся огласки и поэтому с большой неохотой делятся с представителями СМИ подобного рода информацией. По его мнению, в целях предотвращения атак на государственном уровне необходимо создать центр обмена информацией, где можно было бы обмениваться информацией и совместными усилиями планировать каким образом, можно отразить будущие атаки.
Эксперты исследовательской компании FireEye призывают все финансовые организации, подключенным к SWIFT, не оставлять без внимание участившиеся атаки и принимать меры по усилению собственной защищенности — например, чаще проводить независимые аудиты безопасности.
Реакция SWIFT
Самой системой финансовых переводов SWIFT также выработаны многочисленные меры, призванные улучшить безопасность. Однако, введение этих мер сопряжено с большими финансовыми затратами. Тем не менее, успех целиком и полностью зависит от участия всех заинтересованных сторон внутри и вокруг отрасли. «Только общими усилиями всех представителей индустрии удастся достигнуть результатов» — подчеркивает в своих заявлениях генеральный директор SWIFT Готтфрид Лейббрандт (Gottfried Leibbrandt).
Финансовые компании разрабатывают различные средства защиты и самостоятельно — прием они могут быть направлены не только на борьбу с последствиями взломов, но и обычных ошибок ИТ-систем. К примеру, ошибки в работе биржевых систем могут приводить в том числе и к некорректному отображению торговых данных или неверному расчету гарантийного обеспечения для удержания позиции (ошибка может привести даже к преждевременному закрытию сделки)
Для того, чтобы минимизировать возможный ущерб брокерские компании разрабатывают различные системы защиты клиентов. О том, как реализована подобная защита в торговой системе ITinvest MatriX можно прочитать по ссылке.
Другие материалы по теме финансов и фондового рынка от ITinvest:
- Образовательные ресурсы ITinvest
- Аналитика и обзоры рынка
- Фондовый рынок: Как устроены биржи и зачем они нужны?
- Инструментарий фондового рынка: что такое фьючерсы и как они работают
- Инструментарий фондового рынка: что такое опционы, и как они работают
- Что такое фондовые индексы и зачем они нужны
- Книги и образовательные ресурсы по алгоритмической торговле
- Алгоритмическая и автоматизированная торговля: 13 книг по теме
Комментарии (41)
wordwild
11.07.2016 13:39+7«На данный момент скомпрометирована десятки банков, из которых украдено сотни миллионов долларов. В основном это украинские банки, но в зоне риска также и банки, находящиеся в России», — комментируют инцидент специалисты ISACA.
Какой лихой перевод… В оригинале:
На даний момент скомпрометовано десятки банків (в основному в Україні та в Росії), з яких вкрадено сотні мільйонів доларів.
vanxant
11.07.2016 15:15-3Перевод вообще по принципу «писатель не читатель». «Атака на Центробанка», вьетнамский банк из Вьетнама (спасибо кэп) и прочие подделАнные сообщения.
Обычно о таком в личку пишут, но когда такие ляпы в каждом предложении — это уже за гранью.
crarerw
11.07.2016 15:31Объясните пожалуйста, каким образом в наш век можно что-то украсть из подобной системы? Разве нельзя проследить, заморозить и откатить переводы, ведь это же не наличка и не биткоин? Как вообще возможно вывести украденные подобным образом деньги? Понятно что это всё сопряжено с большой бюрократической волокитой. Но ведь десятки миллионов долларов того стоят?
gravl
11.07.2016 15:37-2десятки миллионов конечно того стоят, только если это не правительство решило пополнить таким образом госбюджет…
svekl
11.07.2016 17:03+1Мне кажется, для этого и нужны все описанные ухищрения по скрытию факта перевода, типа затирания ответа, слежение за принтером и прочее. Похоже, это даёт какое-то время, чтобы послать мулов обналичивать деньги.
pnetmon
11.07.2016 19:19Операции между банками проходят не мгновенно. Деньги в банке получателе на счет получателя зачисляются не мгновенно, на все нужно время.
crarerw
11.07.2016 22:57Разве процесс обналичивания таких крупных сумм не затянется очень надолго — на несколько месяцев, за которые пропажа вскроется и хороший кусок от украденного банк теоретически сможет вернуть назад?
Frankenstine
12.07.2016 09:26Время обнаружения в случае банка Бангладеша, например, составила порядка пары недель. За это время переведённые деньги разумеется уже были снова переведены и след их потерялся из-за банковской тайны, как я понимаю. К тому же у меня есть подозрения, что перевод мог пройти через другие заражённые банки, с затиранием логов транзакций в них.
pnetmon
12.07.2016 13:03Какие пары недель? Там прошло меньше чем календарная неделя с учетом выходных разных стран.
Запросить повторно выписку у расчетного центра системы расчетов через которую проводились деньги легко. Нужно только знать что произошла мошейническая операция. Там, в расчетных центрах, логи пока не затираются.Frankenstine
12.07.2016 14:48Хм, вы правы. Предположительно дата атаки — 5 февраля, пятница, а регулятора об обнаружении «проблемы» банк уведомил 9-го. А министр финансов вообще узнал из СМИ через месяц :)
pwrlnd
11.07.2016 17:20На тот момент, когда пропажу обнаруживают — деньги уже обналичены или обезличены. Каким образом вы представляете откат переводов? Кто будет компенсировать это? Как пример:
Украли из банка А, деньги перевели на банк B, а потом на карты банка C. Благополучно их обналичили. После этого банк А обнаружил кражу — решили откатить операции. В итоге страдает банк С — он и наличку выдал и безнал обратно забрали.crarerw
11.07.2016 22:54Понятно, что после обналичивания уже ловить нечего. Но как за разумное время хакеры умудрились обналичить те же 81 млн $? Это же нужны десятки тысяч мулов(или актов обналичивания) по всему миру, чтобы не привлекать лишнего внимания, мне кажется, на это уйдёт несколько месяцев минимум. Да и кто-то из этой толпы может и облажаться, сорвав и выдав весь план сильно раньше времени.
Что касается обезличивания — ну перевели деньги на какой-то анонимный счёт. А дальше? Ведь деньги-то из банковской сети не выведены и откат цепочки переводов конечному банку ущерба не нанесёт.
Или может быть в статьях что-то умолчали и атака (уже процесс обналичивания) продолжалась ещё несколько месяцев с момента самой кражи, или 10 и 81 млн $ — это первоначальные суммы кражи, а некоторую внушительную часть этих денег банк сумел себе вернуть?Frankenstine
12.07.2016 09:28Первоначальная сумма кражи в банке Бангладеша почти миллиард, и 81 миллион это как раз та часть, которую не смогли «откатить»/заблокировать.
crarerw
12.07.2016 11:18Судя по этой статье (https://xakep.ru/2016/03/11/bangladesh-cb-hack/ — да и на Хабре было что-то подобное, найти не могу), откатывать остальную (~860 минус 81 млн) часть и не потребовалось, поскольку взломщики протупили с опечаткой и средства банка даже не покидали. Так что в рассмотрении процесса обналичивания наверное стоит рассматривать именно 81 млн $.
Насколько я понимаю, _из первоначальных крупных сумм, которые мелькают во всех заголовках громкости ради, в итоге злоумышленники обналичивают лишь часть, возможно что в разы меньшую_. Но точными цифрами и вообще информацией банки делиться не спешат и остаётся строить лишь догадки, которые могут сильно отличаться от того, что было на самом деле.
Действительно, банковская тайна и переводы через другие заражённые банки могут позволить злоумышленникам выиграть много времени. Но ИМХО, на вывод всей суммы полностью его всё равно не хватит.
Olgeir
12.07.2016 00:50Мне очень сложно представить как через пластик обналичить 10 млн $. При этом тереть следы переводов злоумышленники могли только в атакованном банке, в банках через которые прошли эти деньги следы остались.
arheops
12.07.2016 00:57Купить биткоины по чуть-чуть?
crarerw
12.07.2016 11:26По моему мнению — только если по чуть-чуть, вброс крупных сумм на биржи привлечёт много лишнего внимания и, возможно, интереса к происхождению денег. Скорее всего злоумышленники так тоже делали, но этот способ вряд ли был основным.
arheops
12.07.2016 11:47Да не скажите. Вот, смотрите, обьем торгов за день на бирже $3млн. https://coinmarketcap.com/exchanges/okcoin-intl/, скорее всего процентов 5-10 в день от этого количества если менять, спишут на рост спроса. Тоесть дней за 5 управиться можно.
crarerw
12.07.2016 12:24Я как-то сильно недооценил объёмы оборота биткоинов, не сильно этим раньше интересовался. Спасибо за этот ресурс.
Только если менять 10% от 3 млн, это выходит 300 тыс. в день. Выйдет около месяца, уж никак не 5 дней :) Наверное, вы забыли указать, что это если менять не на одной бирже. Также, разве «Volume (24h)» не объём суммы как покупок, так и продаж? В таком случае объёмы надо поделить на два, а сроки умножить.
И мне кажется, вброс такого количества «черноты» на рынок может иметь какие-то экономические последствия для биткоина. Хотя там наверное и так большой объём оборота имеет сомнительное происхождение.
Думаю, вы правы. Есть много тонкостей, но в принципе это реально.
babulya
11.07.2016 17:32-4Этот банк — приватбанк
Его взламывали недавно. Он один из самых крупных.
conturov
11.07.2016 20:02+5Откуда вы взяли такую информацию?
babulya
12.07.2016 09:55-1Очень интересно, правда?
Наверное я живу в той стране где он находится!
Об этом говорили все тогда еще. И непросто говорили, у меня самого карточка этого банка, потому нельзя было снять деньги, вплоть до того что я не мог купить продукы в супермаркете. Судя по тому, что сдесь не будут писать просто о каком то ломбарде, а напишут обязательно о крупном(логические суждения) банке, потому очень даже вероятно что он был в том списке! Если хотите предоставлю аргументы в виде новостей!
artemstepochkin
12.07.2016 00:50А я все думал, кто это недавно в один прекрасный вечер тёмную устроил банковской системе, да так, что аж все терминалы в магазинах и сами банкоматы популярных банков (трех точно, ибо дальше забил бегать) не работали. Может быть и не связано с этим, но тогда что это было?
arheops
12.07.2016 00:51У нас тут недавно один депутат заявил, что деньги выиграл в лотарею, поскольку имеет систему и вообще он в детстве посещал кружки по математике. Такчто с банками может получится так же. «Взлом» изнутри.
M-A-XG
12.07.2016 16:31При чем тут взлом SWIFT?
Там что код-ревью в банках не проводят или там работают одни хакеры?
Решето.
pnetmon
12.07.2016 21:04Вот интересно как реализовать создание хэш суммы созданных документов при условии что «левые» процессы могут изменить отображаемые данные. Начиная с момента ввода документов в систему оператором или системой дистанционного обслуживания и до отправки подписанного документа в центр межбанковских расчетов.
volnov
А что за банк?
ilyaplot
Хотите попранковать?
volnov
как вариант.
StanZakharov
обзванивайте самые крупные, их 3-5 — думаю не прогадаете :-)
site6893
возможно накрывшийся недавно Фидобанк
megazloj
Точно не из него
Sykoku
С Фидо там все интереснее. За день обзвонили крупных клиентов и предупредили «о падении». Всю ночь народ переносил деньги со счетов ТОВ на СПД (у физлиц другой предел возмещения). К утру расслабились. А когда банк открылся — народ узрел диво дивное: все проводки сторнированы, НО с СПД они УШЛИ, а на ТОВ НЕ ПРИШЛИ. И где они делись — никто не знает.