Учащиеся магистратуры Университета Иннополис в Татарстане, работая над проектом в рамках курса по кибербезопасности, смогли раскрыть дело об ограблении банка. Студентам удалось установить, как преступники проникли в компьютерную систему финансовой организации, и по оставленным следам идентифицировать их IP-адреса.

Расследование реальных инцидентов стало в этом году практической частью программы «Киберпреступность и компьютерная криминалистика» для учащихся старших курсов. Материалы для анализа студентам и преподавателям предоставило управление «К» при МВД России, с которым у университета налажено сотрудничество.

Команда исследователей взялась за дело об атаке на один из российских банков. В начале лета злоумышленники, воспользовавшись уязвимостями в аутентификации, похитили из него 5 млн рублей.

Выяснилось, что преступники обошли защиту через SMB — сетевой протокол для общего доступа к файлам, пустив в ход полученные ранее данные для авторизации в системе. После этого они установили вредоносное ПО, которое подменяло клиентское приложение и, связываясь с банком в заранее заданное время, отправляло команды на совершение транзакций.

Для того чтобы закрепиться в системе и автоматизировать свои действия, мошенники использовали пакетные файлы .bat и оболочку PowerShell, позволяющую создавать сценарии администрирования.

На подготовку операции и проверку у мошенников ушло несколько месяцев. Чтобы проверить, не отследит ли их действия система безопасности, злоумышленники начали с перевода небольшой суммы. Убедившись, что тревога не поднялась, они совершили еще две атаки, в сумме похитив 5 млн рублей.

Выкрав деньги, преступники удалили внедренное ПО, однако команде университета удалось найти следы зловреда. Восстановив данные, студенты смогли идентифицировать IP-адреса, с которых было совершено проникновение в IT-инфраструктуру финансовой организации.

Студенты установили, что в ограблении участвовало пять человек. Каждый член группировки имел определенные обязанности: один из злоумышленников разрабатывал вредоносное ПО, другой занимался поиском и проникновением в уязвимые системы, третий их удаленно контролировал, четвертый и пятый играли роль денежных мулов.

Собранные данные студенты передали в правоохранительные органы. В результате полиция задержала группировку, которая за несколько лет похитила из банков России, Беларуси и Казахстана более 100 млн рублей. Материалы исследования войдут в основу доказательной базы будущего судебного процесса.

Финансовые организации постоянно находятся под угрозой нападения со стороны киберпреступников. Так, в 2017 году в результате атак российские банки потеряли более миллиарда рублей. При этом основной программой, которой злоумышленники пользовались для взлома, была Cobalt Strike — легальное ПО, предназначенное для проведения тестов на проникновение.

Для одной из крупнейших группировок, занимающейся финансовыми хищениями по всему миру, это стало основным инструментом и дало им именование — Cobalt Group. Она действует с 2015 года и не прекратила свою активность даже после того, как ее главарь был арестован.

Категории: Другие темы, Кибероборона