Kas iš tikrųjų atakuoja Rusijos finansų sistemą?

Praktiškai po kiekvienos didesnės kibernetinės atakos prisimenama įtempta geopolitinė situacija – Vakarai puola kaltinti visur besikišančią Rusiją, o pastaroji – užsienio žvalgybas. ESET saugumo ekspertai parengė ataskaitą „Modern Attacks on Russian Financial Institutions“ (Naujos atakos prieš Rusijos finansų įstaigas), kurioje analizuojamos atakų prieš Rusijos finansų įstaigas tendencijos ir šioje srityje besidarbuojančios kriminalinės grupės.

Visai neseniai Rusijos centrinis bankas pranešė, kad nusikaltėliai bandė pasisavinti 2,87 milijardus rublių iš Rusijos finansų įstaigų. Remiantis išplatintu pranešimu, programišiai atakavo banko naudojamą programinę įrangą AWC CBC (Automated Working Station of the Central Bank Client). Tačiau, pasak ESET, Rusijos centrinis bankas nebuvo pagrindinis nusikaltėlių tikslas.

„Painiava kilo po to, kai keliuose straipsniuose buvo tvirtinama, kad Rusijos centrinis bankas tapo vagių auka. Tačiau tokios kibernetinės atakos metu pinigai pasisavinami iš bankų, naudojančių minėtą programinę įrangą, ne vien centrinio banko“, – komentuoja ESET kenksmingų programų tyrėjas Jean-Ian Boutin.

Pasak saugumo ekspertų, per pastaruosius metus ženkliai padaugėjo atakų prieš Rusijos finansų įstaigas. Tokias sudėtingas atakas pajėgios atlikti skirtingos programišių grupės, kaip jau gerai žinomos „Buhtrap“ ir „Corkow“. Siųsdami tikslinius sukčiavimo el. laiškus nusikaltėliai bando apgauti organizacijų darbuotojus, kad šie atidarytų siunčiamus failus. Deja, po neva svarbiomis sąskaitomis ar ataskaitomis slepiasi kenksminga programinė įranga, kuri atveria kelią programišiams. Patekus į tinklą belieka ieškoti vertingesnių sistemų.

Kaip žinoma, Rusijos bankai naudoja specialią sistemą pervesti lėšas tarpusavyje. Surinkus tam tikro periodo mokėjimus jie yra perduodami kitam bankui, dažniausiai penkis kartus per dieną – duomenys šifruojami būtent su AWC CBC programa ir siunčiami į Rusijos centrinį banką. Pati programa yra laisvai prieinama centrinio banko oficialioje svetainėje.

Programišiai įsilaužę į AWC CBC programą naudojančią mašiną gali pakeisti duomenis prieš jų šifravimą, pavyzdžiui, nurodyti kitą gavėjo banko sąskaitą arba pridėti naujų mokėjimų. Tai yra įmanoma dėl to, kad AWC CBC programa netikrina duomenų vientisumo ar teisėtumo. Todėl patys bankai turi užtikrinti, kad prie jų siunčiamų duomenų neturėtų prieigos neautorizuoti vartotojai, šiuo atveju – programišiai.

Būtent programinės įrangos AWC CBC atakos yra aptariamos ESET parengtoje ataskaitoje. Joje taip pat nagrinėjamos kitos atakos prieš bankomatus, kortelių apdorojimo sistemas, SWIFT bei prekybos terminalus.

Saugumo ekspertų teigimu, panašių atakų bankai sulaukia visame pasaulyje. Šių metų balandį Bangladešo centrinis bankas pranešė, kad nusikaltėliai bandė pavogti 950 milijonų dolerių per SWIFT tinklą, tačiau pasisavino gerokai mažesnę sumą – 81 milijonus. Liepą pinigais spjaudėsi bankomatai Taivane, o lapkritį – Rusijoje.

ESET parengta ataskaita „Modern Attacks on Russian Financial Institutions“, kuri buvo pristatyta spalio mėnesį vykusioje „Virus Bulletin“ konferencijoje, šiuo metu yra prieinama viešai adresu: https://www.virusbulletin.com/uploads/pdf/magazine/2016/VB2016-Boutin-Cherepanov.pdf