Сегодня стали известны подробности успешной операции, проведенной совместными усилиями «Лаборатории Касперского», Интерпола и Европола. В ходе совместного расследования была раскрыта беспрецедентная киберпреступная схема, в рамках которой злоумышленники похитили миллиард долларов США.

Киберограбление продолжалось два года и затронуло около 100 финансовых организаций по всему миру. Криминальная группировка, получившая название Carbanak, использовала методы, характерные для целевых атак. Однако в отличие от многих других инцидентов это ограбление знаменует собой новый этап: теперь киберпреступники могут красть деньги напрямую из банков, а не у пользователей. Преступная схема начиналась с проникновения в компьютер одного из сотрудников организации посредством фишинговых приемов. После заражения машины вредоносным ПО злоумышленники получали доступ к внутренней сети банка, находили компьютеры администраторов систем денежных транзакций и разворачивали видеонаблюдение за их экранами. Таким образом, банда Carbanak знала каждую деталь в работе персонала банка и могла имитировать привычные действия сотрудников при переводе денег на мошеннические счета. За каждый такой рейд киберпреступники крали до 10 миллионов долларов. В среднем ограбление одного банка – от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей – занимало у хакеров от двух до четырех месяцев.

Кстати, главным объектом хакерских атак в прошлом году стали не непосредственно денежные средства, а личные данные пользователей, которые можно использовать «вдолгую». Компания Gemalto опубликовала последний отчет, согласно которому в 2014 году в мире было зафиксировано более 1500 утечек данных, в результате которых было скомпрометировано около одного миллиарда записей данных. Полученные результаты свидетельствуют о том, что по сравнению с 2013 годом количество утечек данных увеличилось на 49%, а количество похищенных или скомпрометированных записей данных выросло на 78%. Основной целью киберпреступников при осуществлении атак в 2014 году стали персональные данные – на долю подобных атак пришлось 54% всех инцидентов, что больше, чем в любой другой категории, в том числе больше числа инцидентов с кражей финансовых данных. В секторе финансовых услуг количество утечек данных сохранилось примерно на уровне прошлого года, однако среднее количество записей данных, скомпрометированных в результате утечек, увеличилось в десять раз с 112 тысяч до 1,1 млн. записей.

В минувшую пятницу россиянин Владимир Дринкман, обвиняемый властями США в организации крупнейшей хакерской атаки в истории страны, был доставлен в американский штат Нью-Джерси. По данным следствия, Дринкман, а также еще трое граждан России и гражданин Украины причастны к организации взлома компьютерных сетей ряда компаний и краже номеров порядка 160 млн кредитных карт. Жертвами мошенников стали, в том числе, электронная биржа NASDAQ, авиакомпания JetBlue, торговые сети J.C. Penney и 7-Eleven, французская компания розничной торговли Carrefour и бельгийский банк Dexia. Ущерб, нанесенный хакерами, оценивается в сумму, превышающую $300 млн. Преступную деятельность обвиняемые вели с 2005-го до лета 2012 года. Дринкман проходит в качестве главного подозреваемого по этому делу. В США ему грозит до 20 лет лишения свободы.

В США было объявлено о создании новой спецслужбы с громоздким бюрократическим названием "Интеграционный центр разведданных по киберугрозам". Новая спецслужба будет скорее координировать деятельность подразделений по борьбе с киберпреступностью, уже существующих в других ведомствах — от того же ЦРУ до Министерства внутренней безопасности. Новое ведомство призвано отвечать за бесперебойную циркуляцию разведданных между соответствующими ведомствами, в том числе отвечающими за обмен данными с частным сектором.

Также на прошлой неделе с целью защиты личных данных пользователей компания Apple запустила идентификацию в два этапа, чтобы обезопасить пользователей приложений iMessages и FaceTime на iPhone, iPad и компьютерах Mac.

Участникам экспертного пула Bankir.Ru было предложено ответить на вопрос: "Почему хакерам удается в течение длительного времени осуществлять противоправную деятельность? Как объяснить резкое увеличение утечек информации в финансовом секторе?"

Комментирует Алексей Бабенко, ведущий менеджер по развитию бизнеса компании «Информзащита»:

- Атаки на банки значительно отличаются от атак на конечных пользователей. Если во втором случае злоумышленники могут использовать автоматизированные средства, которые способны атаковать большое количество пользователей, то в случае с банками они целенаправленно продумывают каждое проникновение. Такой подход позволяет имитировать действия легитимных сотрудников, учесть и обойти имеющиеся средства защиты. Таргетированная атака может продолжаться в течение длительного времени, но в случае успешной реализации полученная прибыль существенно компенсирует затраченные усилия.
Классический набор средств информационной безопасности, установленных «из коробки», в данном случае является слабой защитой. Здесь необходим комплексный подход из корректно внедренных средств ИБ, четко организованных процессов и специализированных методов защиты. К последним относятся системы противодействия мошенничеству, которые позволяют выявить действия как внешних, так и внутренних злоумышленников. Такое препятствие позволит своевременно выявить и предотвратить атаку.

Комментирует Михаил Башлыков, руководитель направления информационной безопасности компании КРОК:

- В кризисное время масштабы киберугроз обычно всегда возрастают. При этом злоумышленникам, естественно, наиболее привлекательны те отрасли и компании, где шансы получить высокую финансовую прибыль выше. Поэтому увеличение утечек информации с целью мошеннических действий в финансовом секторе и конкретно в банках вовсе не удивительно. Осуществление противоправной деятельности в течение длительного времени возможно по двум сценариям. Первый из них связан с недостаточно эффективной работой антифрод-системы или ее отсутствием. Это означает, что отслеживание подозрительных транзакций ведется как минимум не на должном уровне. Во втором - мошенники действуют по очень хорошо спланированной схеме, например, списывая небольшие суммы с редко используемых, либо наоборот – очень часто используемых счетов. И в том и в другом случаях владельцы могут не заметить пропажи денежных средств. Поэтому защита от онлайн-угроз, в первую очередь от краж с использованием систем дистанционного банковского обслуживания (ДБО), сегодня выходит на первый план.

Комментирует Евгений Пухов, технический консультант компании CommVault, работающей в сфере защиты и управления данными:

- Здесь имеет место классический способ взлома через самое узкое место в ИТ среде - конечные устройства. Мы не знаем многих деталей, но обратите внимание: одна атака продолжалась от 2 до 4 месяцев. Получается злоумышленники за это время ни разу не привлекли к себе внимание подозрительными действиями на серверах банка? Крайне маловероятно. Скорее всего, мелких инцидентов, таких как ошибки доступа, неверные IP адреса или порты, попытка доступа с компьютера пользователя, который отсутствует в офисе - было много, но им никто не придал значения. Если бы существовала единая система мониторинга, которая смогла найти закономерность в цепочке странных событий, то можно было бы предотвратить хищение информации. Скорее всего банки экономили на информационной безопасности.
Что касается номеров кредитных карт. Как правило, они пропадают, потому что многие розничные торговые предприятия не соблюдают элементарные "правила гигиены" при работе с ними. Например в США почти все торговые сети хранят номера карт, а некоторые иногда делают копии и хранят их вместе с обычными документами (особенно этим грешат отели). А что говорить про бум электронной коммерции, когда каждый второй сайт спрашивает и хранит номера кредитных карт пользователей. Все ли их хранилища надежно зашифрованы, защищены по периметру? Все ли сети передают данные в зашифрованном виде? Все ли сотрудники хранят ключи и пароли в защищенном виде и не устанавливают программы из сомнительных источников? Конечно же нет. Отсюда и результат.
Полицейские меры вряд ли помогут в такой ситуации. Полагаю, что имеет место общая проблема - уклонение от отраслевых стандартов по безопасности и халатность ИТ руководства. Эта проблема в первую очередь касается крупнейших финансовых организаций по всему миру. Имея хорошую техническую подготовку, хакеры просто пользуются нашим невниманием к бытовым ИТ проблемам. Ничего удивительного.

Комментирует Дмитрий Титков, менеджер по работе с финансовым сектором, Check Point Software Technologies:

- Хакеры постоянно совершенствуют методики и инструменты внедрения в банковские сервисы и тщательно маскируют свои действия. В свою очередь представители службы безопасности не всегда внимательно относятся к таким угрозам и недооценивают их опасность. Отказ от использования современных систем защиты может привести к печальным последствиям, которые мы наблюдаем повсеместно. Многоуровневые каскадные атаки опасны тем, что хакеры постоянно используют новые угрозы, защититься от которых можно только с помощью такой же сложной многоуровневой системы противодействия угрозам.
Финансовый сектор закономерно вызывает у злоумышленников особый интерес — здесь проще всего получить доступ к крупным денежным суммам. Кроме того, все больше и больше информации в банках преобразуется в цифровой вид, а системывсе чаще начинают обращаться на внешних дата-центрах и в облаках. Естественно, чем более доступной становится система, тем активнее хакеры и кибермошенники пытаются добраться до ее содержимого. В данном случае утечки могут быть разного рода: фрод, утечка конфиденциальной информации или непосредственно денежных средств.

Комментирует Чаба Краснай, менеджер по продукту Shell Control Box компании BalaBit IT Security:

- Хакерские атаки могут быть как внезапными, так и длительными, с точки зрения планирования. Поверхностными или глубокими. Как правило, это зависит от целей конкретного хакера. Большинство киберпреступников хотят заполучить все больше и больше компьютеров в свой ботнет. Такие атаки требуют мониторинга Интернета в поисках незащищенных хостов и серверов. Но иногда злоумышленники преследуют иные цели. Если речь идет о продвинутых атаках на хорошо защищенные инфраструктуры в целях получения информации или незаметной установки вредоносных программ, хакеру требуется больше усилий и времени, чтобы обнаружить слабые места в защите и скрыть свои следы. Как правило, киберпреступникам с такой специализацией платят регулярное «жалованье», поэтому время на планирование и проведение атаки фактически неограниченно. Чем больше времени в распоряжении хакеров, тем больше шансов на удачную атаку, а значит, больше желающих заработать. Спрос на такие услуги рождает предложение.
В последнее время мы часто слышим об утечках и взломах в финансовой сфере и государственных организациях. На первый взгляд может показаться, что причина в том, что в этих отраслях хакеров привлекают деньги. Но есть и другой аспект. Во всем мире финансовые компании и государственные организации подлежат сильнейшему регулированию. Требования информационной безопасности активно внедряются и поддерживаются здесь в большей степени, чем где бы то ни было еще. На мой взгляд, в других секторах компании также подвержены хакерским атакам, однако у них нет достаточных ресурсов, чтобы обнаружить взлом, и они не обязаны сообщать о подобных инцидентах.

Комментирует Вячеслав Максимов, руководитель направления аудита и консалтинга компании «Андэк»:

- Защита информации – непрерывная борьба ИТ и ИБ подразделений со злоумышленниками.При этом защищающаяся сторона сильно ограничена в ресурсах, но должна построить систему защиты, не имеющую слабых мест. Она ничего не знает о том кто, как и когда осуществит атаку. Все, с чем она может работать, носит вероятностный характер. Злоумышленник – напротив, не имеет таких серьезных ресурсных ограничений, явно видит цель и может пристально ее изучать, прямо замотивирован на успешную реализацию атаки. Поэтому злоумышленники изначально находятся в более выгодном положении и имеют все возможности опережать защищающихся на ход или два. Исходя из вышесказанного, можно заключить, что успешные взломы будут всегда, и от этого никуда не деться. Финансовый сектор больше атакуют просто потому, что победы там наиболее «ликвидны» – успешные атаки на банки проще монетизировать.
То, что описано в статье – вполне ожидаемый результат такой борьбы, нормальная эволюция атак. Вот только защититься от таких атак просто внедрением средств защиты или волевым подписанием приказа уже не удастся. Потому, что такие атаки не стандартны, и направлены не на определенный сектор (как раньше), а на конкретную компанию.Из статьи видно, что в начале сценария атаки злоумышленники проникали на компьютер одного из сотрудников банка посредством фишинговых приемов. Наш опыт проведения тестов на проникновение по заказу наших клиентов также показывает, что самым слабым звеном в цепи информационной безопасности все еще остаются люди, работники компании. Обмануть их гораздо проще, чем преодолевать техническую защиту. Из разных вариантов применения методов социальной инженерии (например, подбрасывание флэшек; рассылка писем, заманивающих на поддельные сайты; голосовой обзвон; и пр.) почти во всех компаниях срабатывают все варианты. Из материала видно, что злоумышленники долго и внимательно изучают инфраструктуру и бизнес-процессы атакуемой компании, и затем достигают цели, имитируя привычные действия сотрудников. Защита в таком случае уже не работает. Для всей компании действия злоумышленника будут выглядеть как обычные действия авторизованных пользователей.
Почему хакерам удается в течение длительного времени осуществлять противоправную деятельность? Потому, что они поменяли привычный способ поведения хакера. Они меньше проводят грубых активных действий, которые легко могут быть выявлены, и больше наблюдают и анализируют. Службы ИБ в подавляющем большинстве не готовы к таким атакам, а применяемые средства защиты недостаточно эффективны.Для защиты информации необходимо не внедрение антивирусов, межсетевых экранов, SIEM, DLP, IPS и т.д., а внедрение комплексной системы обеспечения ИБ, где средства защиты, процессы защиты, персонал и пр. – лишь инструмент для достижения цели – минимизации актуальных рисков ИБ. Но говорили об этом всегда. Теперь пора это по-настоящему реализовывать.