Эксперты Group-IB поделились подробностями истории о хищении 58 млн рублей из ПИР Банка. Как выяснилось, за взломом стоит группировка MoneyTaker, на счету которой свыше 20 атак на финансовые и юридические компании в России, США и Великобритании.

В начале июля злоумышленники смогли получить контроль над корреспондентским счетом ПИР Банка в ЦБ РФ. Согласно первоначальным сообщениям, преступники получили доступ к автоматизированному рабочему месту клиента Банка России (АРМ КБР) с помощью бэкдора Carbanak. Однако после того как эксперты изучили рабочие станции и серверы пострадавшей организации, точкой входа злоумышленников в систему называют устаревший роутер.

Уязвимое устройство располагалось в одном из региональных подразделений ПИР Банка. По словам аналитиков Group-IB, подобные атаки стали «визитной карточкой» MoneyTaker — ранее группировка атаковала таким образом филиалы как минимум трех кредитных организаций.

Эксперты датировали взлом последними числами мая. Устаревший роутер содержал бреши и открыл преступникам прямой доступ к сетевой инфраструктуре банка. Они закрепились в ней с помощью зловредного ПО и смогли скрыть свои действия от защитных систем. На следующем шаге злоумышленники переместились в основную сеть, где им удалось подключиться к АРМ КБР.

Само хищение произошло 3 июля. Деньги с корреспондентского счета ПИР Банка были переведены на 17 заранее созданных счетов. По словам экспертов, сразу после поступления средств «мулы» сняли наличные в банкоматах в различных регионах России.

На следующий день cотрудники банка обнаружили кражу, но отменить операцию было уже невозможно. К тому времени взломщики покинули ИТ-инфраструктуру, постаравшись замести свои следы. Отмечается, что преступники тщательно подготовились к атаке и свели к минимуму применение стороннего ПО, полагаясь на штатные возможности информационных систем.

Специалисты по кибербезопасности наблюдают за MoneyTaker с 2016 года. В США группировка атаковала 15 банков и одну телекоммуникационную компанию, в Великобритании — разработчика ПО для финансовых организаций. Список жертв в России включает пять кредитных учреждений и одно юридическое агентство. Многие расследования еще не завершены, что не позволяет экспертам раскрывать подробности инцидентов.

Для России данная атака стала одной из крупнейших. Еще один инцидент схожего масштаба произошел в декабре 2017 года, когда преступники пытались украсть 55 млн рублей из банка «Глобэкс». Это была первая в стране подтвержденная попытка вывести средства через систему переводов SWIFT, но благодаря быстрым действиям службы безопасности кредитного учреждения ущерб не превысил 6 млн.

Категории: Хакеры