Высокая волатильность курса рубля может быть обусловлена не только санкциями, падением цены на нефть и снижением темпов роста экономики Китая. Еще один фактор — malware и умело спланированная злоумышленниками атака на финансовые структуры. Так, причиной резкого изменения курса рубля в феврале прошлого года стала именно атака хакеров, пишет «РБК» и Bloomberg. Атаку обнаружили и проанализировали эксперты по информационной безопасности из компании Group-IB.

Как оказалось, хакеры из России сумели взломать систему безопасности регионального банка Энергобанк, и при помощи вируса изменить курс рубля на бирже на 15%. Для атаки на системы банка использовался вирус Corkow Trojan. В ходе атаки банк разместил в феврале 2015 года приказы более, чем на $500 млн, причем по нерыночному курсу. «Это первая задокументированная атака с использованием этого вируса, причем ущерб может быть намного большим… Как только malware проникает в локальную сеть, его сложно обнаружить, а зловред может заразить и компьютеры, не подключенные к Интернету», — сообщил руководитель отдела расследований и сервиса киберразведки Group-IB Дмитрий Волков.

Такие действия банка привели к значительным колебаниям курса рубля на бирже, что позволило хакерам приобрести доллары по курсу 59,0560. Всего через 51 секунду злоумышленники продали купленную ранее валюту уже по курсу 62,3490. Всего за 15 минут хакерам удалось добиться максимальной волатильности отечественной валюты, с минимальным курсом доллара в 55 рублей за $1. До начала атаки курс доллара составлял 60-62 рубля за $1.

Как указывалось выше, взломщики использовали вредоносное ПО Corkow Trojan, этот вирус постоянно обновляется создателями для обхода основных антивирусов. Это достаточно распространенный и чрезвычайно эффективный вирус, который за относительно небольшое время смог проникнуть в компьютерные сети различных финансовых институтов и других организаций по всему миру. Общее количество зараженных Corkow Trojan ПК оценивается специалистами в 250 тысяч устройств. При этом практически во всех банках, где был обнаружен вирус, специалисты зафиксировали корректную работу лицензионных антивирусов. Вирус спроектирован очень хорошо, благодаря чему в некоторых случаях он способен оставаться незамеченным многие месяцы.

По словам представителей Энергобанка, убытки организации в феврале 2015 года составили 244 миллионов рублей (об этом, в частности, писали «Ведомости»). Основной фактор, приведший к таким значительным потерям — действия хакеров. После детальной проверки Московская биржа сообщила, что ее системы работали в штатном режиме.

После изучения ситуации, в конце марта 2015 года комитет по валютному рынку Московской биржи вынес рекомендацию правлению биржи по исключению Энергобанка из состава участников торгов валютного рынка. Причина — недостаточная защищенность системы информационной безопасности банка. «В итоге этой махинации банк понес большой финансовый и репутационный ущерб, поскольку многие игроки на рынке не доверяют версии со взломом и охотно все списывают на ошибку оператора торговой системы», — сообщили представители Group-IB.

Также в 2015 году, только уже в августе, произошла другая проблемная ситуация, связанная с несанкционированным использованием расчетной системы, которая объединяла около 250 банков. Эта система позволяла своим участникам снимать средства с карт Visa и MasterCard по выгодным тарифам. И через банкоматы одного из участников системы в августе было выведено несколько сотен миллионов рублей. Как позже оказалось, это была несанкционированная выдача средств, а причина случившегося — хакерская атака с использованием того же вируса Corkow.

Подробный отчет компании Group-IB можно найти здесь (pdf).

Комментарии (35)


  1. kalbasa
    08.02.2016 20:17

    тоже что ли в хакеры податься :))


  1. retrograde
    08.02.2016 21:04
    +5

    А как же. Все проблемы, они от злых хакеров и жадных пиратов.


    1. OnYourLips
      09.02.2016 09:33
      +1

      От спекулянтов-хакеров: https://meduza.io/news/2015/12/24/putin-obvinil-spekulyantov-v-padenii-urovnya-zhizni-rossiyan
      Наверное через пару месяцев мы узнаем новые подробности, возможно откроется, что они спекулянты-хакеры-жидомассоны-рептилоиды.


  1. pnetmon
    08.02.2016 21:06
    +5

    >>Изменение курса рубля на 15% в феврале 2015 года — работа хакеров

    Казанский «Энергобанк» 27 февраля в ходе торгов на валютном рынке Московской биржи потерял 243 млн руб. Средства были потеряны из-за хакерской атаки его трейдинговой системы, сообщал банк

    Примерно в 12.30 27 февраля спокойный ход торгов в валютной секции Московской биржи был нарушен: курс доллара рухнул с 61 почти до 55 руб. (см. график), через несколько минут стоил больше 66 руб., а затем вернулся к 61 руб. Объяснение этой аномалии нашлось в иске (есть у «Ведомостей») казанского Энергобанка к брокерскому дому «Открытие», БКС и «Финаму».

    27 февраля — 60,71
    3 марта — 62,22
    И где тут 15% между атакой?


    1. pnetmon
      08.02.2016 21:17

      и еще — дата статьи
      http://www.vestifinance.ru/articles/56454/print
      23.04.2015 12:10
      «Энергобанк», чьи сделки на бирже привели к аномальным скачкам курса доллара в феврале, действительно подвергся хакерской атаке, передают «Ведомости» со ссылкой на руководителя по развитию продуктов компании Group–IB Павла Крылова.

      Председатель правления «Энергобанка» Дмитрий Вагизов в интервью татарстанской газете «Бизнес Online» рассказал, что атака случилась во время обеденного перерыва в «Энергобанке». Трейдер банка увидел на экране монитора странные сделки по валютным торгам. После того как были совершены сделки на рынке, была запущена очистка жесткого диска компьютера.

      По словам главы «Энергобанка», еще несколько месяцев назад в систему банка было внедрено вредоносное программное обеспечение. Вирус все это время собирал информацию о системе, мог смотреть данные о переписке сотрудников. Злоумышленники должны были хорошо изучить распорядок дня сотрудников банка. По его мнению, смысл атаки на «Энергобанк» был в том, чтобы захватить контроль над торговым терминалом и подать заявки на покупку и продажу валюты.


      1. marks
        08.02.2016 23:22
        +1

        Ссылка на «Вести» дана в абзаце материала, где и говорится о том, что эта публикация от прошлого года, вроде бы нигде не утверждается, что «Вести» только-только все это напечатали.

        Но сейчас появился отчет с полным анализом ситуации. А представители компании, которая проводила исследование, дали интервью РБК и Блумбергу, рассказав новые подробности. Вот материал на РБК и Блумберге — как раз новинка.


        1. pnetmon
          09.02.2016 09:52

          Дата указывает что и тогда большие детали были известны.

          Ну надо же Group-IB о себе напомнить.

          Написано не очень.

          Про работу антивирусов, про мероприятий по предотвращению этого в отчете очень мало.


          1. numberfive
            09.02.2016 18:37
            +1

            а зачем в публичном отчете об инциденте печатать рекомендации по предотвращению и о антивирусах?
            они описали конкретный кейс с разбором инструмента, хронологией и последствиями, отчасти это для того чтобы продавать свои услуги по предотвращению, реагированию.


    1. sergarcada
      09.02.2016 00:00
      +3

      Данные по торгам на ММВБ за 27/02/2015, взятые с сайта export.rbc.ru:

      TICKER | __DATE__| |_OPEN_| |HIGH_| |LOW | |CLOSE| |VOL_______| |WAPRICE|
      USD000 |2015-02-27| |_61.088| |66.33 | |55.36| |61.877_| |2117554000| |61.1887|

      Для сравнения возьмите данные за любой другой день февраля. выводы можете сделать сами.


      1. pnetmon
        09.02.2016 09:46

        Что говорится в заголовке
        «Изменение курса рубля на 15% в феврале 2015 года — работа хакеров»

        Не говорится что изменение курса на 10 минут, а фраза больше подразумевает на изменение курса за февраль.
        Курс рубля устанавливает ЦБ РФ, а менялся «курс рубля на бирже»

        p.s.
        31 января 2015 — 68,93
        3 марта 2015 62,22


        1. sergarcada
          09.02.2016 13:55

          «В феврале» — то есть событие произошло в феврале, а не за февраль курс изменился на 15%. Далее в статье приводится информация, что все произошло в течение 15 минут, а не в течение месяца.
          Но согласен, что заголовок является двусмысленным.


          1. pnetmon
            09.02.2016 15:23

            Просто тут далее в тексте идет «В ходе атаки банк разместил в феврале 2015 года приказы более, чем на $500 млн, причем по нерыночному курсу» — не указано когда, может в течении нескольких дней, размещались приказы. И только потом про 15 минут непонятного в статье дня, и приходится читать другие статьи.


  1. Xa4IKo
    08.02.2016 23:16

    Интересно, а можно ли с помощью этого вируса вернуть курс гривны 1993-го года? А то жить с сегодняшним курсом как-то не комильфо…


    1. sintech
      08.02.2016 23:23
      +7

      Можно, но только на 15 минут.


    1. catharsis
      09.02.2016 00:07
      +14

      Вот этой?

      Или этой?

      Потому что гривна с Владимиром Великим поступила в обращение только в 1996 году.


  1. Skykharkov
    08.02.2016 23:16
    -6

    Капец. Вредные продукты, вредный интернет. Теперь «волатильность» хакеры обеспечили. Все беды из-за интернета. Хороший повод запретить интернет, в котором то эти хакеры водятся.


  1. DjOnline
    09.02.2016 09:42
    +10

    Предлагаю скинуться на хакеров всей страной и вернуть курс в 33 рубля.


    1. falmer
      09.02.2016 13:08
      -1

      Достаточно скинутся долларами. По сотне с каждого жителя и продавать их по 10р за штуку. Курс тут же рухнет.


  1. Crr
    09.02.2016 10:46
    -1

    Хакеры виноваты. Как удобно.


  1. OberonForGood
    09.02.2016 10:57
    -6

    Хабр не доверяет! Рашка не может страдать по внешним причинам, это всё выдумки, про этих ваших хакеров и зарубежных спекулянтов, а все проблемы рубля только от внутренней ущербности и сиволапости.


  1. Pinsky
    09.02.2016 11:16
    -2

    Можно список банков, которые признали, что их поимели хакеры?
    Мне кажется, что никакой банк находясь в здравом уме не признает такое.


    1. numberfive
      09.02.2016 18:45
      +3

      если у банка стоит выбор между 1) нас поимели хакеры, мы не будем (не хотим) рассчитываться по долгу в 240млн и 2) мы не компетентны в нашем бизнесе, поэтому должны 240 млн, то признавать становится легче