Как оказалось, хакеры из России сумели взломать систему безопасности регионального банка Энергобанк, и при помощи вируса изменить курс рубля на бирже на 15%. Для атаки на системы банка использовался вирус Corkow Trojan. В ходе атаки банк разместил в феврале 2015 года приказы более, чем на $500 млн, причем по нерыночному курсу. «Это первая задокументированная атака с использованием этого вируса, причем ущерб может быть намного большим… Как только malware проникает в локальную сеть, его сложно обнаружить, а зловред может заразить и компьютеры, не подключенные к Интернету», — сообщил руководитель отдела расследований и сервиса киберразведки Group-IB Дмитрий Волков.
Такие действия банка привели к значительным колебаниям курса рубля на бирже, что позволило хакерам приобрести доллары по курсу 59,0560. Всего через 51 секунду злоумышленники продали купленную ранее валюту уже по курсу 62,3490. Всего за 15 минут хакерам удалось добиться максимальной волатильности отечественной валюты, с минимальным курсом доллара в 55 рублей за $1. До начала атаки курс доллара составлял 60-62 рубля за $1.
Как указывалось выше, взломщики использовали вредоносное ПО Corkow Trojan, этот вирус постоянно обновляется создателями для обхода основных антивирусов. Это достаточно распространенный и чрезвычайно эффективный вирус, который за относительно небольшое время смог проникнуть в компьютерные сети различных финансовых институтов и других организаций по всему миру. Общее количество зараженных Corkow Trojan ПК оценивается специалистами в 250 тысяч устройств. При этом практически во всех банках, где был обнаружен вирус, специалисты зафиксировали корректную работу лицензионных антивирусов. Вирус спроектирован очень хорошо, благодаря чему в некоторых случаях он способен оставаться незамеченным многие месяцы.
По словам представителей Энергобанка, убытки организации в феврале 2015 года составили 244 миллионов рублей (об этом, в частности, писали «Ведомости»). Основной фактор, приведший к таким значительным потерям — действия хакеров. После детальной проверки Московская биржа сообщила, что ее системы работали в штатном режиме.
После изучения ситуации, в конце марта 2015 года комитет по валютному рынку Московской биржи вынес рекомендацию правлению биржи по исключению Энергобанка из состава участников торгов валютного рынка. Причина — недостаточная защищенность системы информационной безопасности банка. «В итоге этой махинации банк понес большой финансовый и репутационный ущерб, поскольку многие игроки на рынке не доверяют версии со взломом и охотно все списывают на ошибку оператора торговой системы», — сообщили представители Group-IB.
Также в 2015 году, только уже в августе, произошла другая проблемная ситуация, связанная с несанкционированным использованием расчетной системы, которая объединяла около 250 банков. Эта система позволяла своим участникам снимать средства с карт Visa и MasterCard по выгодным тарифам. И через банкоматы одного из участников системы в августе было выведено несколько сотен миллионов рублей. Как позже оказалось, это была несанкционированная выдача средств, а причина случившегося — хакерская атака с использованием того же вируса Corkow.
Подробный отчет компании Group-IB можно найти здесь (pdf).
Комментарии (35)
retrograde
08.02.2016 21:04+5А как же. Все проблемы, они от злых хакеров и жадных пиратов.
OnYourLips
09.02.2016 09:33+1От спекулянтов-хакеров: https://meduza.io/news/2015/12/24/putin-obvinil-spekulyantov-v-padenii-urovnya-zhizni-rossiyan
Наверное через пару месяцев мы узнаем новые подробности, возможно откроется, что они спекулянты-хакеры-жидомассоны-рептилоиды.
pnetmon
08.02.2016 21:06+5>>Изменение курса рубля на 15% в феврале 2015 года — работа хакеров
Казанский «Энергобанк» 27 февраля в ходе торгов на валютном рынке Московской биржи потерял 243 млн руб. Средства были потеряны из-за хакерской атаки его трейдинговой системы, сообщал банк
Примерно в 12.30 27 февраля спокойный ход торгов в валютной секции Московской биржи был нарушен: курс доллара рухнул с 61 почти до 55 руб. (см. график), через несколько минут стоил больше 66 руб., а затем вернулся к 61 руб. Объяснение этой аномалии нашлось в иске (есть у «Ведомостей») казанского Энергобанка к брокерскому дому «Открытие», БКС и «Финаму».
27 февраля — 60,71
3 марта — 62,22
И где тут 15% между атакой?pnetmon
08.02.2016 21:17и еще — дата статьи
http://www.vestifinance.ru/articles/56454/print
23.04.2015 12:10
«Энергобанк», чьи сделки на бирже привели к аномальным скачкам курса доллара в феврале, действительно подвергся хакерской атаке, передают «Ведомости» со ссылкой на руководителя по развитию продуктов компании Group–IB Павла Крылова.
Председатель правления «Энергобанка» Дмитрий Вагизов в интервью татарстанской газете «Бизнес Online» рассказал, что атака случилась во время обеденного перерыва в «Энергобанке». Трейдер банка увидел на экране монитора странные сделки по валютным торгам. После того как были совершены сделки на рынке, была запущена очистка жесткого диска компьютера.
По словам главы «Энергобанка», еще несколько месяцев назад в систему банка было внедрено вредоносное программное обеспечение. Вирус все это время собирал информацию о системе, мог смотреть данные о переписке сотрудников. Злоумышленники должны были хорошо изучить распорядок дня сотрудников банка. По его мнению, смысл атаки на «Энергобанк» был в том, чтобы захватить контроль над торговым терминалом и подать заявки на покупку и продажу валюты.
marks
08.02.2016 23:22+1Ссылка на «Вести» дана в абзаце материала, где и говорится о том, что эта публикация от прошлого года, вроде бы нигде не утверждается, что «Вести» только-только все это напечатали.
Но сейчас появился отчет с полным анализом ситуации. А представители компании, которая проводила исследование, дали интервью РБК и Блумбергу, рассказав новые подробности. Вот материал на РБК и Блумберге — как раз новинка.pnetmon
09.02.2016 09:52Дата указывает что и тогда большие детали были известны.
Ну надо же Group-IB о себе напомнить.
Написано не очень.
Про работу антивирусов, про мероприятий по предотвращению этого в отчете очень мало.numberfive
09.02.2016 18:37+1а зачем в публичном отчете об инциденте печатать рекомендации по предотвращению и о антивирусах?
они описали конкретный кейс с разбором инструмента, хронологией и последствиями, отчасти это для того чтобы продавать свои услуги по предотвращению, реагированию.
sergarcada
09.02.2016 00:00+3Данные по торгам на ММВБ за 27/02/2015, взятые с сайта export.rbc.ru:
TICKER | __DATE__| |_OPEN_| |HIGH_| |LOW | |CLOSE| |VOL_______| |WAPRICE|
USD000 |2015-02-27| |_61.088| |66.33 | |55.36| |61.877_| |2117554000| |61.1887|
Для сравнения возьмите данные за любой другой день февраля. выводы можете сделать сами.pnetmon
09.02.2016 09:46Что говорится в заголовке
«Изменение курса рубля на 15% в феврале 2015 года — работа хакеров»
Не говорится что изменение курса на 10 минут, а фраза больше подразумевает на изменение курса за февраль.
Курс рубля устанавливает ЦБ РФ, а менялся «курс рубля на бирже»
p.s.
31 января 2015 — 68,93
3 марта 2015 62,22sergarcada
09.02.2016 13:55«В феврале» — то есть событие произошло в феврале, а не за февраль курс изменился на 15%. Далее в статье приводится информация, что все произошло в течение 15 минут, а не в течение месяца.
Но согласен, что заголовок является двусмысленным.pnetmon
09.02.2016 15:23Просто тут далее в тексте идет «В ходе атаки банк разместил в феврале 2015 года приказы более, чем на $500 млн, причем по нерыночному курсу» — не указано когда, может в течении нескольких дней, размещались приказы. И только потом про 15 минут непонятного в статье дня, и приходится читать другие статьи.
Skykharkov
08.02.2016 23:16-6Капец. Вредные продукты, вредный интернет. Теперь «волатильность» хакеры обеспечили. Все беды из-за интернета. Хороший повод запретить интернет, в котором то эти хакеры водятся.
OberonForGood
09.02.2016 10:57-6Хабр не доверяет! Рашка не может страдать по внешним причинам, это всё выдумки, про этих ваших хакеров и зарубежных спекулянтов, а все проблемы рубля только от внутренней ущербности и сиволапости.
Pinsky
09.02.2016 11:16-2Можно список банков, которые признали, что их поимели хакеры?
Мне кажется, что никакой банк находясь в здравом уме не признает такое.numberfive
09.02.2016 18:45+3если у банка стоит выбор между 1) нас поимели хакеры, мы не будем (не хотим) рассчитываться по долгу в 240млн и 2) мы не компетентны в нашем бизнесе, поэтому должны 240 млн, то признавать становится легче
kalbasa
тоже что ли в хакеры податься :))