17 октября 2013, 08:40
Количество просмотров 151

Компрометация IT−системы банка: на трех «китах»

<p> О том, что системы интернет-банкинга зачастую становятся уязвимыми для злоумышленников, похищающих денежные средства, писалось и...
Компрометация  IT−системы банка: на трех «китах»

В 2013 году растет число атак на системы интернет-банкинга, при этом целью злоумышленников становятся уже сами банки

Дмитрий Волков, руководитель отдела расследований компании Group-IB

О том, что системы интернет-банкинга зачастую становятся уязвимыми для злоумышленников, похищающих денежные средства, писалось и говорилось достаточно много. Однако во всех случаях, описываемых ранее, речь шла о заражении рабочего места конечного пользователя, как правило, бухгалтера, вредоносной программой, позволявшей мошенникам совершать хищения денежных средств. В данной статье хотелось бы рассказать о совершенно ином подходе, а именно – о хищениях в системах интернет-банкинга, выполненных в результате компрометации сетевых инфраструктур банковских организаций, а не рабочих мест их клиентов.

Как все началось?

Компрометация  IT−системы банка: на трех «китах» - рис.1
Когда инсайдер обладает необходимым уровнем доступа к системе и знанием инфраструктуры, он может грамотно замести следы

Подводя итоги 2012 года, пришлось констатировать тот факт, что сайты банков не только становятся уязвимы, но и порой активно используются злоумышленниками в распространении банковских троянов. А если можно получить несанкционированный доступ к сайту банка, то почему бы не использовать его в качестве опорной точки для дальнейшего проникновения в банковскую инфраструктуру с целью получения контроля над основными IT-системами кредитной организации? Сообщения о таких инцидентах мы периодически встречаем в иностранных СМИ, однако о российском рынке интернет-банкинга таких данных официально обнародовано практически не было. Стоит напомнить, что еще в 2010 году Group-IB отмечала факт несанкционированного вывода со счета одного отечественного банка 400 млн рублей. Эту сумму злоумышленники похитили именно со счетов банка после того, как получили доступ в его внутреннюю сеть. Справедливости ради следует отметить, что впоследствии все похищенные средства банку удалось вернуть, но лишь после того, как из банка вывели всю обозначенную сумму. После этого случая нами фиксировались и другие случаи компрометации банковских сетевых инфраструктур, приведшие к хищениям денежных средств, однако встречались они крайне редко (по 1 случаю в год).

Выступая в феврале 2013 г. на Уральском Форуме «Информационная безопасность банков», мы сделали прогноз, что 2013 год станет переломным и ознаменуется началом резкого повышения преступной активности в области интернет-банкинга, при этом целью злоумышленников станут именно сами банки. Тогда мы выделили следующие причины, обосновывающие этот прогноз:

• были зафиксированы факты успешной компрометации банков;

• сайты и веб-ресурсы банков успешно «взламываются»;

• присутствует объективное наличие у преступных групп необходимого опыта и навыков;

• банки, их службы и системы безопасности сегодня не готовы к таким угрозам;

• похитить один раз 100 миллионов злоумышленникам гораздо проще, нежели украсть сто раз по 1 миллиону.

Как показала практика, наш прогноз, к сожалению, оправдался…

Group-IB – одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. Клиентами компании Group-IB являются более 60 банков и финансово-кредитных организаций, производители программного обеспечения, телекоммуникационные операторы связи РФ и зарубежных государств. Представители компании являются членами различных экспертных советов и докладчиками крупнейших международных конференций по проблемам компьютерной безопасности. Компания имеет лицензию ФСБ РФ на работу со сведениями, составляющими государственную тайну (ГТ № 0064472, регистрационный номер 4490).

Компрометация  IT−системы банка: на трех «китах» - рис.2

Переломный 2013−й

Если ранее мы ежегодно наблюдали по одному «взлому» банка (т. е. случаю компрометации той или иной банковской сети) с целью хищения денег, то за последние восемь месяцев наша база знаний пополнилась уже 11 новыми случаями. Важно заметить, что в случае успеха такого хищения потери будет нести не клиент, а банк, как виновная (в рамках договорных отношений «банк-клиент») сторона. Эти риски переложить на клиента попросту невозможно.

В 2013 году мы сталкивались со следующими случаями попыток подобного рода хищений:
• хищение в результате инсайда;
• хищение в результате эксплуатации уязвимостей в банковских системах;
• хищение в результате проникновения в банковскую сеть с использованием троянов.

Распределение попыток подобного рода хищений по типам показано на диаграмме (см. рис. 1).

Рассмотрим по порядку каждый из типов хищений более подробно.

Инсайд

С начала 2013 года мы столкнулись только с одним случаем инсайда. С точки зрения реализации, этот способ максимально прост. Обладая необходимыми правами работы с базой данных, где хранятся клиентские данные, преступники могут с легкостью ими манипулировать. В случае, зафиксированном специалистами Group-IB, злоумышленник выбрал из всей базы данных тех клиентов – физических лиц, у которых на счетах на тот момент находилось наибольшее количество денежных средств.

Как правило, физическим лицам для подтверждения платежей необходимо знать одноразовые пароли, которые отправляются на мобильные телефоны клиентов. Злоумышленник, обладая необходимыми правами, просто заменил в базе у самых богатых клиентов банка номер мобильного телефона на свой. В результате этого он получил возможность получать эти самые одноразовые пароли и начал активно опустошать счета клиентов. Стоит отдать должное службе безопасности банка, которая вовремя обнаружила и остановила мошенничество. Когда банк обратился к нам, первое предположение о случившемся, пришедшее в головы его специалистов по ИБ, касалось вероятного «взлома» извне, однако от него быстро отказались.

Казалось бы, расследовать инцидент внутри банка несложно, ведь на таких критичных системах настроены максимальные уровни контроля ИБ, всегда можно посмотреть, кто получал доступ, как, когда и зачем. Но когда инсайдер обладает необходимым уровнем доступа к системе и прекрасно знает инфраструктуру банка, то при правильном подходе он может не только грамотно замести следы, но и подставить кого-то, чтобы отвести от себя подозрения. Специалистам отдела расследований Group-IB понадобился почти месяц, чтобы детально разобраться в инциденте и определить виновного.

Уязвимости в банковских системах

За истекшие месяцы 2013 года мы зафиксировали два подтвержденных инцидента такого рода. В компетентных кругах ходили слухи о том, что от аналогичной схемы пострадали еще два банка, однако сами бизнес-структуры эту информацию не подтвердили – причина, по которой мы не включили их в свою статистику.

Оба инцидента касались системы интернет-банкинга для физических лиц. Современные системы интернет-банкинга, как правило, написаны основательно, с глубоким подходом ко всем нюансам, включая вопросы ИБ. Именно поэтому целью злоумышленников становятся старые системы, которые еще сохранились в крупных банках, как это принято говорить, в силу «исторических» обстоятельств. Такие сервисы обычно практически не поддерживаются и, как показывает практика, имеют серьезные уязвимости.

Компрометация  IT−системы банка: на трех «китах» - рис.3
Средства удаленного управления, которые устанавливают злоумышленники, не внесены в базы и не замечаются антивирусами

В первом случае при эксплуатации таких уязвимостей злоумышленники получали необходимые права на доступ к системе и действовали по сценарию, схожему с инсайдом (отличие можно увидеть лишь в механизме вывода денежных средств). Во втором случае злоумышленники получали возможность манипулировать суммами и назначениями денежных переводов физических лиц. Таким образом, вместо 10 рублей можно было отправить 10 тысяч. Стоит отметить, что о таких ошибках уже не раз рассказывалось.

Использование троянов

Итак, мы подошли к самому интересному. Вариант хищений денежных средств с помощью троянов примечателен как минимум тем, что в отличие от случаев эксплуатации уязвимостей банковских систем, когда злоумышленники вынуждены целенаправленно исследовать одну конкретную систему, здесь хакеры могут ставить компрометацию банков на поток. Именно поэтому оставшиеся 8 из 11 зафиксированных нами случаев компрометации банков с целью хищения денежных средств в 2013 году пришлись именно на этот способ.

В чем его особенность? После того как компьютер какого-либо администратора заражается троянской программой (стоит отметить, что чаще всего троян проникает туда в результате посещения администратором вполне легитимных банковских порталов), на машину жертвы устанавливается еще один троян, который организует злоумышленникам удаленный доступ, например хорошо известный RDPdoor.

Дело в том, что, получив удаленный доступ к компьютеру администратора, злоумышленники понимают, что рано или поздно их троян может быть обнаружен средствами антивирусной защиты, поэтому они устанавливают на стороне банка и «легальные» средства удаленного управления, например, Ammyy Admin или TeamViewer. Эти средства тоже предоставляют возможность удаленного управления компьютером, а поскольку они не внесены в базы антивирусов, так как являются распространенным продуктом, то такие программы его попросту не замечают.

Злоумышленники пытаются «закрепиться» в банковской IT-системе как можно надежнее. Они ставят свои средства контроля (трояны и не только) туда, куда имеет доступ «зараженный» администратор. Через новые серверы они получают реквизиты доступа других системных администраторов, и т. д. Их основная цель – скомпрометировать весь домен, получить контроль над корпоративной почтой и выявить серверы с ключевыми банковскими системами.

По одному из полученных в ходе расследования скриншотов, , сделанных вредоносной программой внутри банковской инфраструктуры, видно, как злоумышленники использовали доступ к рабочему месту специалиста, осуществляющего запись клиентской электронной цифровой подписи на защищенные токены. На заднем «окне» можно было заметить, что, используя привилегии данного пользователя, можно получить доступ к серверам электронного документа оборота и электронной почты Lotus, CRM системе и, конечно же, к системе интернет-банкинга.

Безусловно, что злоумышленники, специализирующиеся на преступлениях такого рода, стремятся «уходить» незамеченными, не оставляя явных следов своего проникновения. Поэтому, скомпрометировав домен внутри банка и получив контроль над ключевыми банковскими системами, «лишние» вредоносные программы удаляются.

Компрометация  IT−системы банка: на трех «китах» - рис.4
Удаленно контролируя рабочее место данного пользователя, злоумышленники получают доступ к серверам электронного документооборота и почты Lotus, CRM-системе и, конечно же, к системе интернет-банкинга

Как только злоумышленники получают представление, каким образом, откуда и какой именно объем средств они могут похитить, начинается подготовка к собственно выводу и обналичиванию денег. Во всех известных нам успешных случаях хищений всегда выводилось более 100 миллионов рублей. Очевидно, что обналичить такие суммы задача не из легких, требующая достаточно времени на решение. После того как сеть банка практически полностью скомпрометирована, злоумышленникам предоставляются широкие возможности.

Вот лишь примерный список того, чем могут заняться злоумышленники далее:
1. Выбрать среди юридических лиц – клиентов банка самых богатых;
2. Перевыпустить для этих компаний ключи электронной цифровой подписи;
3. Сменить пароли на доступ в систему интернет-банкинга;
4. Провести операции по выводу денежных средств в один день со счетов выбранных компаний.

Как реагируют банки?

Как я уже отмечал, для российских банков эта тенденция является новой. Опыта реагирования на подобного рода инциденты у них пока практически нет, необходимые процедуры тоже отсутствуют.

Когда сеть банка скомпрометирована, писать на корпоративную почту об этом нельзя и обсуждать пути решения этих проблем тоже. Поэтому при появлении подозрений на компрометацию IT-системы банка специалистам отдела расследований Group-IB приходится дозваниваться до службы информационной безопасности, объяснять им по телефону, в чем заключается инцидент, а уже потом описывать детали в письме, но отправленном на адрес внешней почты. Некоторые банковские специалисты относятся к полученной информации серьезно, и тогда начинается продуктивная работа по установлению причин инцидента, его масштабов и принятие необходимых мер для предотвращения хищений. Однако некоторые из банков реагируют крайне неадекватно. Вот лишь несколько наглядных примеров того, как реагировать не стоит:

Пример 1. С сайта банка уже несколько недель «раздают» банковского трояна. После нескольких дней наших попыток разъяснений банковскому специалисту по информационной безопасности и его руководителю, что такое банковские трояны и как они работают, что такое связка эксплойтов, iframe и т. п., мы получаем следующий ответ: «у нас сейчас нет ресурсов на решение данной проблемы. Через два месяца у нас запускается новая версия сайта на новом сервере. Проблема сама собой устранится».

Компрометация  IT−системы банка: на трех «китах» - рис.5
Киберпреступники ставят свои средства контроля (трояны и т. д.) туда, куда имеет доступ «зараженный» администратор

Пример 2. Мы получили скриншот, демонстрирующий, что на сервере с одной из банковских систем работает вредоносная программа, которая отслеживает действия администратора. После устных разъяснений и отправки подтверждения с инструкциями по почте получаем следующий ответ: «сервер, о котором вы говорите, не должен быть подключен к интернету. Мы регулярно проводим антивирусное сканирование, и ничего подозрительного не обнаружено. Мы также проверили несколькими антивирусами наши ключевые серверы, вредоносных программ не обнаружено». При попытке объяснить подобного рода специалистам, что проверки нужно проводить иначе и они не выполняют инструкций, которые им присылались, шансы, что наше обращение останется проигнорированным, лишь возрастают.

Пример 3. Мы вели наблюдение за одной из групп, и нам было достоверно известно, что сеть банка скомпрометирована. Предоставить какие-либо документальные подтверждения банку на тот момент мы не могли, но знали точно, какие проверки необходимо сделать внутри банка, чтобы подтвердить факт компрометации. После того как нами по телефону была обрисована ситуация банковским специалистам и отправлена инструкция о том, какие проверки необходимо сделать, мы получили следующий ответ: «я не понял, что вы мне рассказали. О том, будем мы проводить ваши проверки или нет, я вам не скажу. Подтверждать получение вашего письма я не хочу, поскольку не вижу в этом смысла».

Компрометация  IT−системы банка: на трех «китах» - рис.6
Скомпрометировав домен внутри банка и получив контроль над ключевыми системами, преступники заметают следы

Не стоит игнорировать сигналы о компрометации!

Следует отметить, что банки неохотно рассказывают о своих инцидентах. В 72% случаев о компрометации банков мы узнавали сами, поэтому сложно представить, сколько таких инцидентов на самом деле. Можно утверждать только одно – их значительно больше!

Эта новая для российских банков тенденция обнажает многие проблемы. Если после прочтения данной статьи вам позвонят и сообщат, что есть подозрения о компрометации IT-системы вашего банка, то отнеситесь к этому серьезно и не стесняйтесь задавать вопросы компетентным специалистам.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube