Пока финансовый сектор совершенствуется и внедряет новые технологии, киберпреступники не дремлют. Согласно данным компании FireEye за 2014 год, специализирующейся на информационной безопасности, финансовые учреждения — на втором месте по частоте хакерских атак, уступая первенство лишь правительственным ресурсам. Со временем атаки на этот сектор только усилились.
Сегодня мы рассмотрим несколько примеров реальных атак на банки и биржи и поговорим о последствиях этих киберинцидентов.
Популярная цель хакеров
Нападения хакеров на сферу финансов — дело столь же привычное, как и утренний кофе для большинства людей. На клиентов «Сбербанка» совершается около 5 тыс. атак в неделю. Не лучше ситуация и с целевыми взломами — в 2016 году хакеры попытались украсть у российских банков 2,87 млрд рублей, сообщает Центробанк.
Однозначно сказать, как меняется число кибератак на финансовый сектор, довольно сложно. Во-первых, статистики различных банков и финансовых компаний разнятся и могут даже противоречить друг другу. Во-вторых, сами банки и биржи могут как утаивать информацию о хакерских атаках, боясь потерять доверие клиентов, так и списывать на них свои внутренние ошибки.
Большая часть хакерских атак приходится на пользователей — клиентов банков. Но профессионалы предпочитают взламывать сами финансовые учреждения — это выгоднее для киберпреступников. При этом хакеры могут преследовать различные цели и использовать множество способов атаковать сферу финансов.
Кража денег из банков с помощью уязвимости в системе переводов
В прошлом году система международных денежных переводов SWIFT неоднократно подвергалась хакерским атакам. Воспользовавшись уязвимостями в этой системе, хакеры сумели вывести $81 млн из Центробанка Бангладеш. Ещё $9 млн преступники похитили у банка в Эквадоре. Летом 2016 года $10 млн было украдено у неназванного украинского банка. Во всех этих случаях хакеры действовал одинаково: внедрялись в банки, подключенные к SWIFT, а после получали данные операторов, имеющих право на создание и одобрение SWIFT-сообщений, и проводили поддельные транзакции.
Эксперты предполагают, что атаки на систему переводов — дело хакерской группировки Lazarus. Интересно, что представители SWIFT поначалу заявляли, что уязвимость не является причиной краж. Но после нескольких инцидентов компания взялась за усиление безопасности.
В феврале 2016 года со счета российского Металлинвестбанка исчезло 667 млн рублей. Атака пришлась на АРМ КБР (автоматизированное рабочее место клиента Банка России), с которого ведётся управление счетом в Центробанке. В какой-то момент представители банка заметили, что с устройства отправляются несанкционированные переводы на счета частных лиц в банках по всей стране. По словам специалистов, за инцидентом в Металлинвестбанке и ещё как минимум 13 взломами стоит группировка Buhtrap, члены которой были задержаны в июне 2016 года. Хакеры запускали троян в банковскую сеть, рассылая письма от имени Центробанка, собирали логины и пароли от доменных учетных записей, а после получали доступ к АРМ КБР и подменяли платежные документы.
Похищение торговых алгоритмов и сбои в биржевой торговле
В июле 2015 года торги на Нью-Йоркской фондовой бирже (NYSE) были приостановлены на несколько часов. Официально причиной сбоя назвали внутренние неполадки, но журналистов и некоторых экспертов такая версия не убедила. По их мнению, виной всему стали хакерские атаки. Вину за случившееся приписывали как группе Anonymous, так и китайским киберпреступникам. К слову, Anonymous пыталась атаковать биржу и в 2011 году, но тогда к серьёзным последствиям это не привело. О том, каким способом была взломана биржа в 2015 году (если атака действительно имела место), доподлинно неизвестно.
Изображение: Christine Puccio, CC BY-SA 2.0
На Московской бирже в том же 2015 году произошла не менее загадочная ситуация. В начале февраля во время торгов курс рубля снизился на 15%, поскольку один из трейдеров — казанский Энергобанк — продавал валюту по нерыночным ценам. За 15 минут такой торговли игрок потерял 244 млн рублей. В случившемся банк обвинил хакеров. За расследование инцидента взялись специалисты из Group-IB, которые установили, что банк и впрямь пострадал от злоумышленников. Механизм атаки оказался простым: хакеры заразили трояном Corcow трейдинговую систему банка, получив тем самым удаленный контроль над ней. Однако многие, в том числе и первый зампредседателя Центробанка Сергей Швецов, посчитали, что дело не в хакера, а в том, что банк сознательно манипулировал валютой.
Американская биржа Nasdaq подверглась крупной хакерской атаке. В 2010 году ФБР заметило попытку проникновения на центральные сервера биржи. В результате расследования, о ходе которого докладывали самому президенту США, было установлено, что в систему проникли, используя несколько ранее не обнаруженных в системе уязвимостей. Такой подход, по сообщению зарубежных журналистов, характерен для спецслужб. Однако в дальнейшем выяснилось, что в Nasdaq «наследили» несколько независимых друг от друга группировок. Существуют разные предположения о цели атаки от банальной кражи денег до попытки уничтожить биржу. Представители Nasdaq заявили, что преступники охотились за инсайдерской информацией сервиса Directors Desk, который содержит данные 300 компаний.
Еще одна неочевидная цель атак злоумышленников — торговые алгоритмы хедж-фондов. Специалисты компаний, занимающихся информационной безопасностью, заявляли, что алгоритмы похищают, чтобы шантажировать хедж-фонды. Для них подобные инциденты могут стать крайне серьезным репутационным ударом.
Кража инсайдерской информации
Похищения данных, способных повлиять на ход торгов, случаются на биржах куда чаще попыток помешать работе и украсть торговые алгоритмы. Такую информацию куда проще использовать или продать. Но в этом случае атакам подвергаются не только сами биржи, но и другие влиятельные в финансовом мире компании. Показательный случай — кража инсайдерской информации у Dow Jones&Co.
О взломе и хищении данных 3500 клиентов компания сообщила в 2015 году. Но оказалось, что этот инцидент с Dow Jones не самый интересный. На тот момент ФБР уже расследовало кражу неопубликованных статей и другой информации, дающей преимущество в ходе торгов. Одна из служб компании — Factiva — ещё до официальной публикации собирает важные финансовые данные из более чем 4000 источников, а потому ее взлом особенно интересен хакерам.
Аналогичная проблема возникла и у американских ресурсов для публикации пресс-релизов компаний PRNewswire, Marketwired и Businesswire. Они, сами того не замечая, целых пять лет делились с хакерами важной для рынка информацией до ее публикации. Доступ к данным киберпреступники получили с помощью фишинговых атак. Хакеры работали в связке с трейдерами. Последние использовали полученные данные для торгов на бирже, а вырученные средства переводили в офшоры. Ущерб от действий группы оценивается по разным данным в сумму от 30 до 100 млн долларов.
Заключение
Несмотря на пристальное внимание со стороны хакеров, финансовые компании постоянно укрепляют собственную безопасность. Например, разработчики системы финансовых переводов SWIFT после описанных ситуаций разработали многочисленные меры, призванные улучшить безопасность.
Финансовые компании разрабатывают различные средства защиты и самостоятельно — прием они могут быть направлены не только на борьбу с последствиями взломов, но и обычных ошибок ИТ-систем. К примеру, ошибки в работе биржевых систем могут приводить в том числе и к некорректному отображению торговых данных или неверному расчету гарантийного обеспечения для удержания позиции (ошибка может привести даже к преждевременному закрытию сделки)
Для того, чтобы минимизировать возможный ущерб брокерские компании разрабатывают различные системы защиты клиентов. О том, как реализована подобная защита в торговой системе ITinvest MatriX можно прочитать по ссылке.
Поделиться с друзьями
Old_Chroft
Классная оговорка. Наверное все таки «благодаря вниманию хакеров» усиленно занимаются безопасностью. А когда нафиг никому не нужны были — и на безопасность плевали.