Вирус Corkow, внедренный в киберсистему Энергобанка, позволил заработать брокерам и ничего не принес самим хакерам. Об этом корреспонденту «БИЗНЕС Online» вчера рассказал гендиректор Group-IB Илья Сачков на форуме РИФ+КИБ. Съехавшиеся на мероприятие эксперты констатировали, что ущерб экономики РФ от киберпреступлений составил 203,3 млрд. рублей, объяснили, почему компании не умеют бороться с кибератаками, и заявили, что именно российские инженеры спасут страну, а то и мир от кибернашествия.
Гендиректор и основатель компании Group-IB Илья Сачков (фото: ©Владимир Трефилов, РИА «Новости» |
«В ТОТ ДЕНЬ ЗАРАБОТАЛИ ВСЕ, КРОМЕ ЭТИХ ПРЕСТУПНИКОВ»
Атакованный хакерами в феврале 2015 года Энергобанк был одним из сотни зараженных, при этом злоумышленники своими биржевыми манипуляциями почти ничего не заработали. Об этом накануне на форуме РИФ+КИБ корреспонденту «БИЗНЕС Online» рассказал гендиректор и основатель компании Group-IB Илья Сачков: «Группа, которая атаковала Энергобанк, цели выбирает случайно, это случайное заражение через популярный ресурс. Большинство вирусов, которые сейчас работают, направлены на атаки подобного рода, то есть хищение денежных средств у крупных организаций, и не распознаются программным обеспечением. В среднем нахождение вирусов, не будучи обнаруженными предприятиями, — 600 дней». По его словам, вирус находился в системе банка не один день. Его не обнаружили, потому что коэффициент заражения был большой. «Только идиот отправит свой вирус на распространение, не протестировав его на последних обновлениях всех антивирусных программ, — рассказал кое-что о технологии работы хакеров Сачков. — Экономика киберпреступности позволяет инвестировать в средства нападения значительно больше денег, чем любая, даже самая крупная компания инвестирует в средства детектирования».
В марте прошлого года в интервью нашему изданию председатель правления Энергобанка Дмитрий Вагизов рассказал, что потери составили примерно 300 млн. рублей, включающих 250 млн. рублей обеспечительных мер, которые банк предпринимал по блокировке средств клиентов брокерских компаний, получивших выгоду в результате несанкционированного доступа. Спустя год, в феврале 2016-го, об этой атаке подробно описала в своем отчете все та же Group-IB. Специалисты рассказали, что в компьютерной системе банка была обнаружена программа Corkow, также известная как Metel. Вирус был внедрен еще в сентябре 2014 года, но долгое время никак себя не проявлял. По словам Сачкова, сначала хакеры смотрят на систему, а потом уже совершают атаку. Так, в декабре в системе начали создаваться отчеты клавиатурного шпиона. «В случае с Энергобанком они поняли, что это брокерский терминал, что они могут отправить платеж», — пояснил нашему корреспонденту глава Group-IB.
Энергобанк атаковали 27 февраля 2015 года, нападение длилось всего 14 минут. Corkow в тот день предоставил удаленный доступ к системе, что позволило преступнику запускать программы, управлять клавиатурой и мышкой параллельно с оператором системы. За 14 минут злоумышленнику удалось разместить на бирже пять заявок на покупку $437 млн. и две заявки на продажу $97 миллионов. При этом удалось продать почти S160 млн., а купить — $93 миллиона. Потом хакер отправил команду на удаление своих следов и вывод компьютера из строя. «Однако хакеры не поняли, как работает экономика биржи, — рассказал Сачков. — В тот день заработали все, кроме этих преступников. Все брокеры, которые находились на бирже и покупали валюту, заработали. Злоумышленники на тот момент оказались не очень умными. Если бы они выбрали другую валюту, например, японскую йену, они бы получили примерно всю сумму денег, а так в этот день, я думаю, многие брокеры купили вечером бутылку хорошего шампанского и радовались». Напомним, Энергобанк предъявил к трем брокерам — БКС, «Финаму» и «Открытию» — иск, в котором предложил добровольно, с дисконтом 15 - 20%, вернуть нажитые в тот февральский день деньги. Вахитовский районный суд снял иск с рассмотрения.
В Group-IB пришли к выводу, что данная атака носила тестовый характер — подтвердилась возможность оказывать серьезное влияние на рынок, а значит, получать прибыль. «Это был первый в мировой практике крупный инцидент, когда троянская программа получила контроль над терминалом торговой системы для торгов на различных биржевых рынках», — сделали вывод специалисты Group-IB. Любопытно, что в Центробанке еще в середине февраля заявляли, что не верят в версию про хакеров, и списывали взлом Энергобанка на месть уволенного сотрудника. Однако ни его имя, ни сведения о том, какую должность он занимал, не указывались. На этот же инцидент ЦБ и следствие позднее списали колебание курса рубля в диапазоне 5 рублей.
Нападение на Энергобанк длилось всего 14 минут, но привело к потере 300 млн. рублей |
«УЧАСТНИКИ РЫНКА НЕ ПОНИМАЮТ, КАК ИМЕННО РЕАЛИЗУЮТСЯ АТАКИ»
Тем не менее регулятор к проблеме киберпреступности, по всей видимости, относится серьезно, поскольку уже анонсировал увеличение вдвое штата в центре мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT), где числились 8 человек.
Тема кибербезопасности становится тем более актуальна в свете того, что хакерам группы Buhtrap за полгода удалось похитить у банков (с августа 2015-го по февраль нынешнего года) 1,8 млрд. рублей. Об этом свидетельствуют данные исследования Group-IB, опубликованного в марте этого года. По данным компании, атаки на банки велись при помощи вируса, вложенного в письма, приходившие якобы из Центробанка. Рассылка шла с адресов support@cbr.ru.com и mironova.olga@gazprombank.com.ru. Удачными атаки стали в 13 случаях, а средний размер ущерба составил 143 млн. рублей. Какие именно кредитные организации стали жертвами хакеров, не сообщалось. Единственный случай этого года, попавший в публичное поле, — хищение 200 млн. рублей у Металлинвестбанка.
Эксперты связали успех хакеров с тем, что кредитные организации по-прежнему плохо осведомлены о процессе проведения целевых атак на финансовый сектор. «Участники рынка не понимают, как именно реализуются атаки и поэтому не могут выработать адекватные меры противодействия», — говорится в документе. Отсюда вытекает вторая причина — вера в то, что стандартные средства защиты и антивирус остановят преступников. Не останавливают и не остановят. По крайней мере, хакеры продолжают атаковать банки. По словам, руководителя пресс-службы управления «К» бюро специальных технических мероприятий ГУ МВД России Александр Вураско, только с начала 2016 года удалось пресечь хищение средств из банков на сумму более 4 млрд. рублей.
УЩЕРБ ЭКОНОМИКИ РФ ОТ КИБЕРПРЕСТУПНОСТИ СОСТАВИЛ 203,3 МЛРД. РУБЛЕЙ
Зато в 2015 году ущерб экономики России от киберпреступности составил 203,3 млрд. рублей. Такие данные содержатся в исследовании Group-IB, фонда развития интернет-инициатив (ФРИИ) и Microsoft, которое было представлено накануне на форуме РИФ+КИБ. Авторы исследования опросили в форме интервью представителей 600 компаний из таких отраслей экономики, как финансы, страхование, телеком, IT, ретейл, промышленное производство, транспорт, энергетика и др. Причем 58% из них относились к малому и среднему бизнесу, 42% — к крупному. Сачков уточнил, что 92% опрошенных подтвердили, что столкнулись с реальной кибератакой в 2015 году, но только 50% смогли подтвердить не только наличие финансового ущерба, но и назвать диапазон потерь. При этом больше всего осторожничали при опросе компании, представляющие наиболее интересные для хакеров финансовый и страховой сектора. Их опасения и закрытость Сачков объясняет тем, что нет законодательно закрепленной обязанности разглашать информацию о произошедшем инциденте. Кроме того, как говорится, вынос сора из избы может повлечь за собой репутационные риски для компании. Впрочем, уже сам факт того, что об этой теме говорят в открытую, Сачков воспринимает положительно, так как еще совсем недавно проблему замалчивали.
При этом из заявленной суммы в 203,3 млрд. рублей только 123,5 млрд. были прямым ущербом бизнесу, а 79,8 млрд. рублей составили затраты на ликвидацию последствий киберинцидента. Цифра общего ущерба соответствует 0,25% ВВП страны. «Это примерно два рынка интернет-рекламы, это в два раза превышает поддержку СМИ, которая предоставляется из госбюджета, это более половины средств, выделяемых на здравоохранение, это почти половина стоимости компании «Яндекс», это треть IT-отрасли страны и примерно ¼ тех средств, которые выделяются на исследования и разработки в стране», — для наглядности сравнил управляющий инвестиционным портфелем ФРИИ Сергей Негодяев.
Атаки хакеров на МСБ отличаются от способов нападения на крупные компании. «Для МСБ в основном это хищения средств из системы интернет-банкинга, а также работа программ-вымогателей, для крупного бизнеса это и фишинговые атаки, и DDos-атаки, в том числе хищения через интернет-банкинг, заражение мобильных телефонов топ-менеджмента компаний», — уточнил Сачков. Руководитель отдела исследований ФРИИ Маргарита Зобнина обратила внимание, что киберпреступность угрожает не только финансовому состоянию компаний, но и тормозит инновации, особенно киберпреступления существенно бьют по начинающим бизнесменам. «Крупные компании из-за ущерба и необходимости ликвидации последствий атак теряют средства на инвестиции в инновации и развитии. Стартапы же в силу финансовых и технологических причин оказываются наименее защищенными перед лицом киберугроз. Более того, начинающие предприниматели дольше восстанавливаются после атак», — объяснила она.
«ДЕНЬГИ НА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ТРАТЯТСЯ БОЛЬШИЕ, НО ТОЛЬКО НЕ ПРОТИВ ТОГО ВРАГА»
Неудивительно, что в своих прогнозах компании более чем пессимистичны. Исследование показало, что две трети респондентов отметили увеличение киберинцидентов за последние три года на 75%, а также рост причиненного ущерба в два раза. В трехлетней перспективе компании ожидают 173-процентного роста количества кибератак и 192-процентного увеличения ущерба. Впрочем, в Group-IB такой панический прогноз отвергают, полагая, что сумма ущерба увеличится вряд ли, а вот количество атак — наверняка. Сачков отметил, что причиной тому являются способы монетизации и вывода денежных средств, а также конкуренция на самом рынке компьютерной преступности.
Так или иначе, если в компаниях и знают о существовании киберпреступлений, то не всегда понимают, какие риски они несут и как с ними бороться. Директор по корпоративным вопросам Microsoft в России Ульяна Зинина утверждала, что 1/3 опрошенных считает, что ответственность за киберпреступность лежит исключительно на самом бизнесе, только 19% компаний высказали мысль, что это все-таки сфера ответственности бизнеса, общества и государства. «Как показывает опыт и наши исследования, именно партнерство, взаимодействие трех сторон является наиболее эффективным способом противостоять киберпреступности», — добавила она.
Чтобы минимизировать киберугрозу, Зинина предложила начать с повышения уровня киберграмотности. «Необходимо прилагать серьезные усилия для популяризации проблематики, рассказывать о новых проблемах, о методах решения и о том, каким образом бороться с киберпреступниками», — поддержал идею Негодяев. При этом Сачков подчеркнул, что в данном случае технология защиты вторична, первично же знание о том, какая конкретно технология нужна: «Грубо говоря, когда компании слышат, что им предлагают решение в области кибербезопасности, они любят его приобретать. Технологию надо выбирать только после оценки риска, понимая, какие риски у конкретной организации могут быть. Если мы закупаем танки, а противник прилетел на самолете, то супертанки вряд ли нам помогут против самолетов. Это часто случается в российском бизнесе, когда деньги на информационную безопасность тратятся большие, но только не против того врага и той технологии».
«НАШИ ИНЖЕНЕРЫ — ЕДИНСТВЕННЫЕ, КТО МОЖЕТ СПАСТИ СТРАНУ ОТ КИБЕРПРЕСТУПНИКОВ»
Не лишней также будет модернизация национального законодательства, которое должно отвечать «техническим реалиям времени». Например, Зинина предложила законодательно закрепить обязанность сообщать о киберинциденте, как это делается в некоторых зарубежных странах. «Когда кто-то решил какую-то проблему, все должны об этом узнавать немедленно, потому что у них может быть та же самая проблема. Если тут работать в формате «каждый сам по себе», то высокие риски потерь», — вторил ей Негодяев в беседе с корреспондентом «БИЗНЕС Online».
О том же говорил и Сачков: «Все дела должны расследоваться быстрее, скорость должна приближаться к скорости совершения преступлений. Совершение преступлений — несколько секунд, а расследование занимает несколько лет. Если учесть, что количество инцидентов будет расти, то общество захлебнется, если не обновит законодательство и не придумает международных единых правил игры».
Естественно, также надо усиливать в борьбе с киберпреступностью международное сотрудничество, потому что такого рода преступления трансграничны, а злоумышленников поймать становится почти невозможно. «Наши инженеры — единственные, кто может спасти страну от киберпреступников и активно работать на международном рынке, потому что значительный ущерб на международном рынке приносят наши соотечественники — русскоговорящие хакеры», — добавил Негодяев.
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 8
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.