Хакеры под видом ЦБ атаковали российские банки

Хакерская группа Silence атаковала в четверг, 15 ноября, российские банки — под видом ЦБ РФ разослала письма с вредоносным программным обеспечением. Для этого атакующие стилизовали письма и документы под те, которые рассылает Банк России. Пока неизвестно, есть ли среди финансовых организаций пострадавшие. По мнению экспертов, образцы этих документов хакеры получили, взломав почтовые ящики сотрудников банков.

О том, что российские банки получили вредоносную рассылку якобы с почтового ящика ЦБ РФ, сообщила Group-IB и подтвердили в «Лаборатории Касперского». Хакеры подделали адрес отправителя, но по какой-то причине не стали использовать SSL-сертификаты для прохождения проверки на подлинность. Письма, озаглавленные как «Информация центрального банка Российской Федерации», предлагали банкирам ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Для этого получатель должен был распаковать архив.

Распаковка архива приводила к загрузке вредоносной программы Silence.Downloader. Этот инструменты используют хакеры из Silence. «Стиль и оформление письма практически идентичны официальным рассылкам регулятора,— рассказали в Group-IB. Скорее всего, хакеры имели доступ к образцам подлинных сообщений». В компании полагают, что для этого злоумышленники или взломали почтовые ящики сотрудников банка, либо занимались или занимающиеся легальной работой — пентестами (тестированием безопасности компьютерных систем с помощью моделирования хакерской атаки) и реверс-инжинирингом (попытками воспроизвести код каких-либо программ). «Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем»,— полагают в Group-IB.

Да этого аналогичная атака была зафиксирована 23 октября. Тогда якобы с адреса ФинЦЕРТ (структуры ЦБ, занимающейся кибербезопасностью) банки получили письмо с вложениями, стилизованными под документы регулятора, которые содержали в себе вредоносную программу — загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Серверная инфраструктура, используемая атакующими, ранее использовалась в атаках, за которыми предположительно стояли хакеры из группировки MoneyTaker. «Silence и MoneyTaker являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций», — считает эксперт по киберразведке Рустам Миркасымов. — Хакеры из MoneyTaker используют все возможные векторы атак на банки, а Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем».

«Атакующие используют известный и по-прежнему очень эффективный метод — получают доступ к внутренней банковской сети и закрепляются в ней.— пояснил “Ъ” ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.— В течение долгого времени киберпреступники изучают внутреннюю инфраструктуру сети и производят запись с экранов машин сотрудников банка». После анализа того, как используется внутрибанковское программное обеспечение, хакеры осуществляют перевод денежных средств из банка.

Silence — малочисленная российская хакерская группа, зафиксированная в 2016 году. Эксперты полагают, что за ними числятся атаки на системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР. Хакеры атакуют цели в основном в России, Украине, Белоруссии, Азербайджане, Польше и Казахстане.

https://www.kommersant.ru/doc/3800158

 

Еще один пост в пользу хакерских атак на банки:


...согласно отчётам FinCERT (подразделение ЦБ РФ по реагированию на инциденты в финансовой сфере России), Group-IB, Positive Technologies и Kaspersky Security (ведущие компании РФ, которые специализируются на кибербезопасности), в период с 2013 по 4 квартал 2018 года на банки РФ было совершено более 1000 кибератак. Некоторые из банков были атакованы неоднократно. Указанные атаки не всегда были успешными, но позволили хакерам только за 2015 год украсть и вывести более 200 млрд. рублей (результаты совместного исследования ФРИИ, Group IB и Microsoft Russia, сессия РИФ+КИБ 2016, www.iidf.ru), что равно 3 млрд. долларов США. Эта сумма может быть ниже реальной, т.к. далеко не все банки сообщают об атаках в ЦБ, и тем более не спешат информировать клиентов (во избежание нанесения ущерба собственной репутации). Согласно Указанию Банка России №4793-У, подверженные атаке банки обязаны сообщать об инциденте, его технических деталях и ущербе, в ФинЦЕРТ Банка России (www.cbr.ru/press/event/?id=1912).
С конца 2014 года на смену обычному мошенничеству в банковской сфере («фишингу») приходит новое направление – хакерская атака. Если конечной целью мошенников были держатели карт (обычные граждане) и средняя сумма ущерба измерялась десятками тысяч рублей, то добыча хакеров измеряется в миллионах, а целью становятся сами банковские учреждения и их внутренности (процессинг, автоматическое рабочее место клиента Банка России – АРМ КБР, система формирования финобязательств, SWIFT). Побочным эффектом от такого рода атаки является информационный отклик в обществе, который приводит к оттоку клиентов и денежной массы от атакованного банка, ущербу имиджу, шаткое положение на рынке, уязвимость к недобросовестной конкуренции. Даже самый перспективный среднестатистический банк может прекратить свое существование в результате таких событий. Количество хакерских атак на финансовый сектор РФ с указанного момента выросло в десятки раз.
Во всём этом наблюдается закономерность. После кибератаки Администрация ЦБ назначает проверку состояния атакованного банка. В ходе проверки обнаруживается огромная финансовая дыра, образование которой списывают на результат деятельности хакеров. Но на самом деле большая часть недостающих денег, как правило, выведена намного раньше. В общих чертах схема выглядит следующим образом:
Этап 1. Хакеры атакуют один или несколько банков РФ. Вектор атаки может быть разным: от создания информационного поля (звонки вкладчикам, фишинг) до прямого воздействия (получение контроля над процессингом, перехват управления АРМ КБР, создания фиктивных или изменения реальных платёжных обязательств перед третьими лицами). Результат у таких мероприятий всегда один – банк «проседает» на рынке, теряет денежные средства и клиентов.
В это же время основные кредиторы/правление банка выводят все свои активы и набирают кредитов на подставных лиц.
Этап 2. Обнародование информации об атаке. Подогрев интереса общественности.
Этап 3. Подключение ЦБ РФ. Отчёт FinCERT об атаке, назначение руководством ЦБ аудиторской проверки, с целью выявления ущерба и способа атаки на банк.
Этап 4. Выявление финансовых дыр, неликвидности активов, завышения реальных резервов атакованного банка. Отзыв Центробанком лицензии банка-жертвы.
Этап 5. Для обеспечения защиты финансов вкладчиков и выполнения обязательств перед кредиторами банка назначается временная администрация банка от ЦБ РФ и АСВ (Агентство по Страхованию Вкладов).
Этап 6. Привлечение средств для «обеспечения работы» временной администрации (использование денег вкладчиков атакованного банка). Выявление проверкой ЦБ недочета (финансовой дыры) в бюджете банка. На данном этапе из банка выводятся оставшиеся денежные средства, а переоценка активов и резерва ведёт к усугублению его состояния.
Этап 7. После израсходования всей денежной массы временной администрацией ЦБ РФ принимается решение о необходимости санации банка. Назначение Центробанком банка-санатора (одного или нескольких), привлечение государственных средств.
Этап 8. Растрата временной администрацией и руководством банка-санатора привлеченных средств. Признание банка банкротом. Запуск процедуры ликвидации финансового учреждения.
Этап 9. Распродажа активов, кредитных обязательств. Возможно поглощение другим банком.

Оригинал: https://www.yaplakal.com/forum3/topic1870534.html?hl=что+объединяет+хакеров

 

ЦБ выкупил БИНБАНК ?????

 

цб это не банк и он ничего не выкупает...он регулятор и закрывает и указывает

да вроде так фишили банки еще пару лет назад..
более того использовались вирусы запакованные в вордовский док

 

Руководить Бинбанком будет представитель ЦБ
https://www.rbc.ru/finances/09/02/2018/5a7db1809a794790cbe0e3eb

а как все начанилось урсабанк -> мдмбанк -> бинбанк

 

По этапам все почти так, за незначительными замечаниями по порядку: АСВ, санация, банкротство, выплаты...

А вот про связку - атака - проверка ЦБ - дыра - выведено банком раньше, чушь полная. ЦБ при проверке видит (в АБС) когда и кому были проведены платежи. Отличить вывод через афиллированные структуры от вывода вследствие хакерской атаки не сложно. ЦБ и РФМ (да и ФСБ) у нас далеко не зря хлеб свой едят. За что им отдельное СПАСИБО.
Вы указали, что "большая часть недостающих денег, как правило, выведена намного раньше". Атака на банк же производится единомоментно, вывели максимум - ушли. Или думаете банк не заметит пропажи на утро половины суммы на корсчете и будет ждать пока через неделю выведут вторую половину или еще добавит шекелей?

Слышал о том, что некоторые банки одно время пробовали баловаться маскировкой вывода средств под хакерскую атаку. Но это другое совсем. Чтобы получилось, надо чтобы было логическое соответствие общего характера проведения атаки, личности получателя(владельца счета) плюс дат: открытия вредоносного вложения, загрузки вредоносного ПО, создания файлов ВПО, их использования по логам, изменения файла рейса и еще кучи факторов. Все это сделать идеально практически невозможно и не слышал чтобы у кого-то проканало такое (чтобы банк закрыли чисто из-за потери активов в результате воздействия ВК). Зато слышал что ловили умников, которые пытались такое оформить.

Последний абзац чисто для понимания

Да, и такие атаки на банки были минимум 6 лет назад на моей памяти. Даже инструменты те же. Только деньги не воровали. Учились видимо.

 

набери в википеди что такое ЦБ..
или женьку федорова посмотри...цб вообще даже государству не подчиняется типо того

 

а вот интересно..200лярдов за 1 год только..неужели такая сумма просто растворилась?как такие бабки можно вообще вывести без государственного участия?