В конце 2013-го банкомат в Киеве начал выдавать деньги в совершенно произвольные моменты. Никто не вставлял в него карточки и не прикасался к кнопкам. Камеры зафиксировали, что деньги забирали люди, случайно оказавшиеся рядом в тот момент.
Но когда для расследования привлекли «Лабораторию Касперского», она обнаружила, что «сбрендившее» устройство — наименьшая из проблем банка.
На банковских компьютерах, с помощью которых сотрудники совершали ежедневные переводы и вели бухучет, было зловредное ПО, позволявшее киберпреступникам регистрировать каждый шаг. Согласно результатам расследования, ПО скрывалось там месяцами, отправляя видеозаписи и изображения, сообщившие преступной группе — в которую входили россияне, китайцы и европейцы — как банк совершал свои ежедневные операции. Затем злоумышленники выдавали себя за сотрудников банка, не только включая устройства для выдачи денег, но и переводя миллионы долларов из банков в Россию, Японию, Швейцарию, США и Голландию на подставные счета.
В отчете сообщается, что масштаб этой атаки на более чем 100 банков и других финансовых организаций в 30 странах может сделать это одним из крупнейших ограблений банков в истории — и при этом лишенным обычных признаков ограбления. «Лаборатория» говорит, что из-за соглашений о неразглашении с пострадавшими банками она не может их назвать. Белый дом США и ФБР были уведомлены о найденном, но говорят, что потребуется время для подтверждения данных и для оценки потерь.
Компания заявляет, что через своих клиентов получила свидетельства кражи на $300 миллионов у ее клиентов, и считает, что общие убытки могут быть втрое выше. Но эту оценку невозможно проверить, потому что размеры транзакций при хищении были ограничены $10 миллионами (хотя некоторые банки пострадали неоднократно). Во многих случаях снятые суммы были скромнее, вероятно, чтобы оставаться незамеченными.
Большинство пострадавших организаций располагаются в России, но многие также в Японии, США и Европе. Пока что ни один банк не признал кражу — типичная проблема, на которую обратил внимание Обама, посетив первый саммит Белого дома по кибербезопасности и защите потребителя, прошедший в Стэнфордском университете. Он высказался в пользу принятия закона, который бы требовал публичного раскрытия информации о любом взломе, при котором была похищена персональная или финансовая информация.
Но консорциум, предупреждающий банки о злонамеренной активности — Центр анализа и обмена информацией между финансовыми службами — сообщил в заявлении: «Наши участники знают об этой активности. Мы распространили информацию об этой атаке среди наших участников», а также «некоторые брифинги были проведены правоохранительными органами».
Ассоциация американских банкиров отказалась от комментариев, и ее руководитель Дуглас Джонсон сказал, что группа будет считать единственным комментарием заявление консорциума. Следователи Интерпола сказали, что их сингапурские специалисты по киберпреступлениям координируют расследование совместно с правоохранительными органами пострадавших стран. Также было уведомлено голландское Dutch High Tech Crime Unit, подразделение национальной полиции, расследующее некоторые из самых сложных финансовых киберпреступлений.
Молчание вокруг расследования выглядит вызванным отчасти нежеланием банков признавать, что их системы оказались столь уязвимы, а отчасти тем фактом, что атаки продолжаются. Управляющий директор североамериканского офиса «Лаборатории Касперского» в Бостоне, Крис Доггетт, заявил, что «группировка Carbanak», названная по используемому зловредному ПО, показывает повышение хитроумности кибератак на финансовые компании. В свете последних новостей о серьезных утечках персональных данных в крупных розничных сетях и банках Вам стоит задуматься также о том, как защитить свою кредитную карту.
«Вероятно, это самая сложная атака в истории с точки зрения тактик и методов, использовавшихся киберпреступниками для того, чтобы остаться незамеченными», — сказал он. Взломщики были очень терпеливы, разместив следящее ПО в компьютеры системных администраторов и наблюдая за их действиями месяцами, таким же образом проводилась атака на Sony Pictures, которую Обама снова назвал делом рук Северной Кореи. Свидетельства говорят о том, что в данном случае взломщики представляли не страну, а группу киберпреступников.
Но остается открытым вопрос о том, как афера такого масштаба могла продолжаться почти два года без того, чтобы банки, регуляторы или правоохранительные органы спохватились. Занимающиеся расследованием говорят, что ответы могут скрываться в методе хакеров. Во многих отношениях этот взлом начался стандартно. Киберпреступники отправляли своим жертвам зараженные письма — новость или сообщение, приходившие якобы от коллеги — в качестве приманки. Когда банковские сотрудники кликали, они ненамеренно скачивали зловредный код. Это позволяло хакерам распространяться по сети банка, пока они не добирались до сотрудников, управлявших системами перевода денег или удаленно контроливовавших банкоматы.
Затем, по словам сотрудников Касперского, злоумышленники устанавливали RAT — remote access tool — позволявшую получать видеозаписи и скриншоты с компьютеров сотрудников. «Цель была в том, чтобы перенять их действия, — сказал Сергей Голованов, ведущий расследование в «Лаборатории Касперского». — В этом случае все выглядит как нормальные, повседневные транзакции».
Преступники потратили много сил на то, чтобы изучить особенности системы каждого банка, в то же время заводя счета в банках США и Китая для перевода денег на них. Два человека, проинформированные о ходе расследования, говорят, что счета были созданы в J. P. Morgan Chase и Agricultural Bank of China. Ни один из банков не ответил на запрос комментария.
