ПЛАС: В чем состоит новизна метода атаки на банки с использованием рассылок SWIFT (если в данном случае вообще можно говорить о новизне), есть ли отличие от прецедента, когда с аналогичной целью использовалась рассылка Клуба антидропперов?
- Никакой новизны нет. Отработанная схема применена к рабочим местам SWIFT.
ПЛАС: Основные причины высокой эффективности таких атак – низкая квалификация банковских специалистов, отвечающих за ИБ, невыполнение банками требований и рекомендаций в области обеспечения информационной безопасности, что-то еще?
- Такие атаки становятся результативными по ряду причин. В частности, из-за низкой осведомленности руководства некоторых кредитных организаций в вопросах операционных рисков, включая риски нарушения информационной безопасности. Также можно отметить недостаточную компетенцию специалистов по информатизации и информационной безопасности.
ПЛАС: Методы противостояния такого рода атакам: какие меры представляются здесь первоочередными?
- Методы противодействия идентичны тем, что Банк России рекомендовал для противодействия атакам на корсчета кредитных организаций.
ПЛАС: Ваш прогноз на будущее с точки зрения развития этой негативной тенденции и мер противодействия.
- Банк России прогнозирует повышение интереса злоумышленников к технологиям передачи финансовых сообщений и переводов денежных средств, так как они наиболее привлекательны с точки зрения получения максимальной выгоды от успешно реализованных атак. В связи с этим Банк России предпринимает ряд мер, направленных на повышение защищенности таких систем и формирование условий, в которых действия злоумышленников были бы крайне затруднительными.
Петер Гъёнгёши, менеджер по продукту Blindspotter компании Balabit, также высказал нашему порталу свое мнение относительно сложившейся ситуации с использованием кибермошенниками каналов Swift:
"Похоже, что такие атаки с использованием SWIFT становятся тенденцией: кража 81 000 долларов США из Банка Бангладеша в начале года, затем атаки на финансовые учреждения Эквадора, Украины, а теперь под удар попала и Россия.
Подобные случаи часто называют «воровство» и я считаю, что это самое подходящее название: злоумышленникам уже недостаточно небольших сумм от простых потребителей, их аппетиты выросли и теперь они имеют наглость атаковать главное банковское хранилище, содержащее огромные суммы денег и золотых слитков.
Банки, по понятным причинам, держат в секрете то, как хакерам удалось проникнуть в систему, но анализ бангладешского инцидента дает некоторое представление о том, как были сделаны эти нападения.
В этом конкретном случае у банков была слабая система безопасности, которая позволила хакерам проникнуть в локальную сеть и установить их собственное узкоспециализированное вредоносное программное обеспечение. Оно захватило контроль над приложением, соединяющим банк с глобальной системой SWIFT, что позволило отправлять заказы на денежные переводы на счета преступников, а также пресекать все уведомления и сообщения, которые смогли бы выдать несанкционированный перевод средств.
Локальной безопасности банка, безусловно, недостаточно. Хорошо обученным хакерам ничего не стоит взломать ее, в конце концов, такая крупная сумма — отличная мотивация для злоумышленников.
Лучший способ защиты от таких атак — усиление внутренней защиты: отслеживание своевременного обновления безопасности программного обеспечения и ОС, добавление в систему мониторинга пользователей и внедрение инструментов автоматического слежения за подозрительной активностью пользователя, которая, в свете последних событий, может оказаться мошеннической операцией".
Виктория Носова, консультант по безопасности Check Point Software Technologies так прокомментировала информационному порталу PLUSworld.ru эту тему:
"Особой новизны как таковой нет, т.к. используется уже проверенная схема рассылки фишинговых писем сотрудникам с вредоносным содержимым. Как только какой-либо сотрудник переходит с виду по безобидной ссылке или открывает, казалось бы, обычный файл, на деле он загружает вредоносное содержимое, которое позволяет злоумышленникам проникнуть в сеть и выполнить все необходимые действия для совершения атаки.
На данный момент такой способ реализации атаки является излюбленным у хакеров, так как не все компании проводят ликбез для своих сотрудников о правилах работы с такими письмами, и не все организации имеют системы, позволяющие блокировать получение вредоносных писем пользователями.
Основные причины высокой эффективности таких атак – низкая квалификация банковских специалистов, отвечающих за ИБ, невыполнение банками требований и рекомендаций в области обеспечения информационной безопасности. Дополнительно можно назвать боязнь внедрения новых технологий или экономию за счет использования старых. Т. к. на рынке уже есть решения, предлагающие минимизировать риск распространения таких целевых атак с помощью технологии реконструирования присланных или загруженных файлов в безопасный вариант файла. Пользователь может использовать его для работы, пока исходное вложение проверяется на безвредность. Безопасный файл получается путем удаления системой потенциально опасного контента.
Традиционные анти-СПАМ решения, к сожалению, уже не спасают от целевых атак. Нужно рассматривать более современные средства защиты в дополнение к существующей системе безопасности или вовсе на ее замену. Также не стоит забывать, что далеко не все банки четко соблюдают меры безопасности и стандарты PSI DSS.
В банке, например, может быть хорошо защищена только та область сети, которая попадает под этот стандарт. Оставшаяся часть сети может иметь более простые или устаревшие методы защиты. Если речь идет о целевых атаках, то для их осуществления применяются комплексные меры и технологии атаки, отразить которые очень сложно, а устаревшие решения информационой безопасности против них и вовсе бессильны.
Один из основных элементов таких атак – это боты, которые незаметно внедряются в сеть и собирают данные для последующих атак и взломов, и могут загружать другое вредоносное ПО, которое, в дальнейшем, и будет выполнять необходимые для хакеров действия.
Для защиты от такого типа атак необходимо использовать комплексную систему защиты от вторжений, включающую в себя систему предотвращения вторжений (IPS), решение защиты от ботов – Anti-Bot, песочницу эмуляции угроз и систему удаления вредоносного содержимого из присылаемых или загружаемых файлов. Последние два компонента являются обязательными для обеспечения высококлассной защиты от атак «нулевого дня». Эмуляция угроз в рамках «песочницы» позволяет отслеживать подозрительные файлы, запуская их в специальной изолированной среде — «песочнице».
Если файл проявляет вредоносную активность, он блокируется и отправляется в карантин еще до того, как попадет в корпоративную сеть. Обращайте внимание на более продвинутые «песочницы», использующие двухуровневую эмуляцию угроз, а именно на уровне ОС и на уровне ЦП. Данные решения позволяют защищаться от вредоносного ПО, которое умеет обходить проверку классическими «песочницами» на уровне ОС. Среди решений по удалению вредоносного контента из получаемых пользователями файлов выбирайте те, которые позволяют администратору гибко настраивать, какие типы содержимое считать опасным, а какие — нет, и оставляют возможность пользователям получать исходные файлы, если система эмуляции угроз не выявила вредоносной активности в ходе проверки данного файла"
Портал PLUSworld.ru продолжает следить за развитием событий и информировать своих читателей. В рамках развития темы также читайте в нашей рубрике "Форум Экспертов" материал
"Атаки на банки через Swift: мнение ИТ-эксперта". с анализом ситуации от эксперта из компании КРОК.
По материалам PLUSworld.ru
85
