Ограбление по-хакерски

Какие тенденции приобретает мир киберпреступности и к чему это может привести? Какова реальная ситуация с ИТ-безопасностью в банках и почему они не могут защитить свои деньги и конфиденциальные данные клиентов?

ВВЕДЕНИЕ

Судя по заголовкам в СМИ, настал золотой век для ограблений банков. Имена преступных группировок часто известны каждому специалисту по безопасности, и некоторые из этих воров неоднократно убегали с миллионами. Огромные деньги и относительно низкий риск обнаружения вдохновляют преступников заниматься интернет кражами. Некоторые группы распадаются или попадают в руки правоохранительных органов, но появляются новые, с более сложными методами атаки и занимают их место.

Преступники быстро адаптируются к изменяющейся среде, постоянно отслеживают вновь опубликованные уязвимости и успевают использовать их гораздо быстрее, чем службы безопасности банков успевают устанавливать обновления. На подпольных интернет-форумах любой желающий может свободно приобрести программное обеспечение для проведения атаки вместе с подробными инструкциями и иногда даже бесплатным пробным периодом. Даркнет дает вам даже шанс познакомиться с недобросовестными сотрудниками банков. При правильной подготовке злоумышленник с минимальными техническими знаниями может украсть миллионы долларов, проникнув в банковскую сеть, хотя может показаться, что такие сети должны быть защищены достаточно хорошо.

Какова реальная ситуация с ИТ-безопасностью в банках? Как хакеры обходят системы безопасности? Каковы недостатки безопасности, которые позволяют хакерам закрепиться в банковской инфраструктуре и совершить мошенничество, оставаясь незамеченными до самого последнего момента?

Данная отчетность основана на анализе безопасности информационных систем, проведенном Positive Technologies для конкретных банков за последние три года. Приведенные здесь данные не обязательно отражают текущее состояние других компаний в том же секторе. Скорее, эта информация призвана способствовать лучшему пониманию специалистами по информационной безопасности наиболее актуальных вопросов в том или ином секторе, а также способствовать своевременному выявлению и устранению уязвимостей. Начнем с примеров нападений и известных банд, которые были у всех на слуху в течение последних трех лет, а также разберем схему стандартного нападения на банковскую инфраструктуру. Затем, мы представим результаты, полученные экспертами Positive Technologies в тестировании на проникновение: их выводы иллюстрируют, какие уязвимости распространены в банках, и какие из них делают атаки возможными.

ОГРАБЛЕНИЯ БАНКОВ В ЦИФРОВУЮ ЭПОХУ

В начале 2018 года президент Всемирного экономического форума объявил, что мировые потери от кибератак приблизились к $ 1 трлн.

В природе мы видим атаки на межбанковские переводы, обработку карт, управление банкоматами, электронный банкинг и платежные шлюзы. Круг целей широк – если злоумышленники обладают необходимыми знаниями и техническими средствами, доступ к таким системам может принести им больше дохода, чем мошенничество в отношении клиентов банка. Чтобы украсть деньги, преступникам необходимо проникнуть в инфраструктуру банка, которая обычно достаточно хорошо охраняется. Тем не менее, преступникам все же удается обойти все механизмы защиты, а СМИ продолжают сообщать о новых банковских кибератаках и кражах.

Примеры воровства:

$100 миллионов.

В начале 2017 года произошел всплеск атак на процессинг карт в Восточной Европе. Проникнув в инфраструктуру банка, преступники получили доступ к системам обработки карт и увеличили лимиты карточного овердрафта. Они также отключили антифрод-системы, которые обычно уведомляют банк о мошеннических операциях. Одновременно их сообщники снимали наличные в банкоматах другой страны. Денежные мулы, непосредственно ответственные за снятие наличных, ранее приобретали банковские карты с поддельными документами и выезжали за пределы страны, в которой находился банк-жертва. В каждом случае средняя сумма хищения составляла около 5 миллионов долларов. Двумя годами ранее аналогичную тактику применяла и другая хак-группа. Проникнув в инфраструктуру банка, преступники смогли аннулировать операции по картам и обнулить баланс, а их сообщники переходили от одного банкомата к другому, похищая миллионы.

$60 миллионов.

Осенью 2017 года злоумышленники напали на Дальневосточный международный банк в Тайване, совершив переводы на счета в Камбодже, Шри-Ланке и США.

$4 миллиона.

В то время как банки в Непале были закрыты на праздники, преступники использовали систему переводов SWIFT для снятия денег. Банки смогли отследить сделки и вернуть значительную часть похищенных средств только благодаря своевременному реагированию.

$1,5 миллиона.

В начале декабря в открытых источниках стали появляться упоминания о банде MoneyTaker, которая в течение полутора лет нападала на финансовые учреждения в России и США. Преступники атаковали системы обработки карт и межбанковских переводов, при этом кражи составили в среднем $500 000 в США и 72 млн. руб. (~$1,26 млн.) в России.

$100 тысяч.

В декабре 2017 года появились сообщения о первой успешной атаке с помощью SWIFT на российский банк. Жертвой хакерской атаки стал «Глобэкс», дочерняя структура ВЭБа. Подозреваемыми в нападении являются хакеры из группы Cobalt, которая специализируется на кибератаках на банки.

ПРЕСТУПНЫЕ ГРУППЫ

Банда кобальта известна своими нападениями на финансовые учреждения в СНГ, Восточной Европе и Юго-Восточной Азии. Но в 2017 году группа расширила свой охват, чтобы атаковать Западную Европу, а также Северную и Южную Америку. Большинство атакованных финансовых учреждений являются банками, но они также включают фондовые биржи, инвестиционные фонды и другие специализированные финансовые учреждения. Цель хакеров – взять под контроль банкоматы, отправив команды выдачи наличных в определенное время: злоумышленники опустошают банкоматы от наличных без физического вмешательства в работу банкомата.

Не менее известна банда Лазаря, которой приписывают одно из самых дерзких ограблений банков через систему SWIFT. В 2016 году группа попыталась украсть миллиард долларов из Центрального Банка Бангладеш, но им удалось украсть только 81 млн. долларов из-за ошибки в платежной документации.

Группа Carbanak вызвала бурное обсуждение в СМИ после серии краж в 2014-2015 годах. Группа отличается своей широкой специализацией: им удавалось украсть деньги из любых систем, с которыми они имели дело, хотя они исключительно использовали недостатки безопасности в корпоративных сетях. Общая сумма похищенных средств превысила $ 1 млрд.

Специалисты по информационной безопасности также знакомы с трояном Lurk, который уже несколько лет используется для атак на системы дистанционного банковского обслуживания. Члены соответствующей преступной группировки были задержаны в 2016 году. Считается, что в общей сложности хакеры вывели из банков более 3 млрд. руб. (~$52,5 млн.).

СХЕМА АТАКИ

Злоумышленники выбирают свою цель в основном полагаясь на свой технический опыт, исходя из доступных инструментов и знаний внутренних банковских процессов.

Каждая атака немного уникальна: например, злоумышленники могут действовать по-разному на этапе вывода денег. Однако есть и общие черты, которые мы обсудим в этом разделе. Злоумышленники действуют по довольно простым сценариям, состоящим из пяти основных этапов, показанных на блок-схеме ниже.

Этап 1. Обследование и подготовка

Первый этап достаточно длительный и трудоемкий: перед злоумышленниками стоит задача собрать как можно больше информации о банке, чтобы взломать системы безопасности и «зацепить» целевой банк. Поскольку использование внешних ресурсов может быть обнаружено системами безопасности, чтобы не попасться на этом начальном этапе, преступники прибегают к пассивным методам получения информации: например, идентификации доменных имен и адресов, принадлежащих банку. На этапе обследования активно привлекаются и недобросовестные банковские работники. Эти инсайдеры готовы раскрывать информацию за плату, о чем свидетельствуют многочисленные предложения на веб-форумах.

Этап 2. Проникновение во внутреннюю сеть

После тщательного осмотра жертвы и подготовки нападавшие переходят в наступление.

Сегодня крупные и средние банки уделяют большое внимание защите периметра своей сети. Таким образом, организовать атаки на серверы или веб-приложения одновременно сложно и рискованно, поскольку злоумышленники с большой вероятностью могут быть пойманы. Наиболее распространенным и эффективным способом проникновения в инфраструктуру банка является отправка фишинговых писем сотрудникам банка на рабочие или личные адреса. Этот метод использовался бандой Кобальт и многими другими группировками.

Другой способ первоначального целевого заражения вредоносным программным обеспечением осуществляется путем взлома сторонних компаний, которые не тщательно защищают свои ресурсы от заражения сайтов, часто посещаемых сотрудниками целевого банка, как мы видели в случае с Lazarus и Lurk.

Этап 3. Развитие атаки и закрепление в сети

После того, как преступники получили доступ к интранету банка, они должны получить права локального администратора на компьютерах и серверах сотрудников, чтобы продолжить атаку. Успех атак обусловлен недостаточной защитой системы от внутренних злоумышленников. Общие уязвимости заключаются в следующем:

* Использование устаревших версий программного обеспечения и невозможность установки обновлений безопасности ОС

* Ошибки конфигурации (в том числе чрезмерные права пользователя и программного обеспечения, а также установка паролей локального администратора с помощью групповых политик)

* Использование паролей словаря привилегированными пользователями

* Отсутствие двухфакторной аутентификации для доступа к критическим системам

После получения максимальных привилегий, преступники могут получить доступ к памяти ОС для того, чтобы узнать учетные данные всех зарегистрированных пользователей (имена пользователей, пароли или хэши паролей). Затем эти данные используются для подключения к другим компьютерам в сети.

Перемещение между хостами обычно выполняется с помощью рядового программного обеспечения и встроенных функций ОС (например, PsExec или RAdmin). Поскольку эти инструменты используются корпоративными системными администраторами ежедневно, они вряд ли вызовут подозрение. Банда кобальта также прибегала к использованию фишинговых сообщений внутри банка, отправляя письма с рабочих мест реальных сотрудников.

Если злоумышленникам удается получить права администратора домена, они могут продолжать свободно перемещаться по сети и контролировать компьютеры, серверы и инфраструктурные услуги сотрудников банка. С таким уровнем привилегий очень легко получить доступ к бизнес-системам организации и банковскому программному обеспечению–достаточно определить рабочие станции сотрудников, которые имеют такой доступ и подключиться к ним. Используя технику «золотой билет», злоумышленники могут спокойно закрепиться в корпоративной системе и оставаться там надолго.

Чтобы скрыть свое присутствие, злоумышленники часто используют бестелесный вредоносный код, который находится только в оперативной памяти. Злоумышленники сохраняют удаленное управление после перезагрузки компьютера, добавляя вредоносные программы в список программ запуска.

Этап 4. Компрометация банковских систем и хищение средств

После закрепления в сети преступникам необходимо понять, на каких хостах расположены целевые банковские системы и найти наиболее удобные способы доступа к ним. Преступники обследуют рабочие станции пользователей в поисках файлов, указывающих на то, что та или иная рабочая станция работала с банковскими приложениями. Для хранения паролей критически важных систем в корпоративных сетях обычно используется специализированное программное обеспечение. Злоумышленник с правами локального администратора может скопировать дамп памяти этого процесса, извлечь пароли для доступа к приложениям или зашифрованным базам данных, а затем получить пароли открытого текста для всех важных банковских приложений, включая основную банковскую систему, SWIFT и станциями управления банкоматами.

Такой сценарий атаки очень эффективен и был успешно реализован во время тестирования на проникновение несколько раз. Дополнительную поддержку злоумышленникам могут оказывать ресурсы, содержащие информацию об инфраструктуре: например, системы мониторинга, которую администраторы используют в своей работе, или ресурсы технической поддержки пользователей. Эти данные повышают уверенность злоумышленников в их знании внутренней сетевой структуры и помогают им учитывать операционные детали бизнес-процессов банка во время атаки, чтобы не вызывать подозрений или не вызвать обнаружения.

Преступники могут скрываться в инфраструктуре банка в течение месяцев или даже лет, оставаясь незамеченными, когда они собирают информацию об инфраструктуре и процессах, неторопливо исследуют системы, выбранные для атак, и наблюдают за действиями сотрудников. Это означает, что кража может быть предотвращена, если внедрение будет обнаружено быстро, даже после того, как преступники уже проникли в банковскую сеть и закрепились.

Основные способы хищения:

* Перевод средств на фиктивные счета через межбанковские платежные системы

* Перевод средств на криптовалютные кошельки

* Контроль банковских карт и счетов

Этап 5. Сокрытие следов

Чтобы затруднить расследование инцидентов, преступники скрывают свои следы. Хотя многие злоумышленники используют резидентные вредоносные программы, признаки их присутствия в системе все еще остаются: записи в журналах событий, изменения в реестре и другие крючки. Поэтому некоторые злоумышленники предпочитают использовать менее хирургический и более грубый подход, стирая загрузочные записи и таблицы разделов жесткого диска на сетевых хостах, полностью отключая их. Всплеск атак cryptoware в 2017 году является одним из ярких примеров того, как данные крупной компании могут быть легко уничтожены. В настоящее время арсеналы хакеров включают модификации вирусов, которые могут распространяться на сетевые рабочие станции и шифровать жесткий диск. Поскольку восстановить зашифрованные данные, как правило, не представляется возможным, банк несет убытки, вызванные вынужденным простоем бизнес-процессов, которые на самом деле могут значительно превышать убытки, вызванные самим хищением средств. Поскольку к этому моменту атаки преступники скорее всего имеют самые высокие привилегии и доскональное знание системы, остановить их на этом этапе практически невозможно.

ТЕСТ НА ПРОНИКНОВЕНИЕ

Тестирование на проникновение оценивает фактический (в отличие от теоретического) уровень безопасности организации, моделируя действия, которые реальный злоумышленник может выполнить. В зависимости от начального уровня привилегий злоумышленника, внешнее тестирование определяет вероятность нарушения периметра сети, в то время как внутреннее тестирование направлено на получение полного контроля над инфраструктурой или получение доступа к критическим системам.

Обратите внимание, что наличие уязвимостей на периметре системы не обязательно означает, что их эксплуатация позволит проникнуть во внутреннюю сеть. В целом периметр сети банков защищен гораздо лучше, чем в других отраслях. За последние три года при внешнем тестировании на проникновение доступ к внутренней сети был получен в 58% тестов; для банков этот показатель составил всего 22%. Во всех этих случаях доступ был облегчен из-за уязвимостей в веб-приложениях, которые позволили злоумышленнику достичь своей цели всего за один шаг. Такие методы использовались основными хакер-группами.

Однако этот процент может быть занижен. Тестеры не используют уязвимости, которые могут повредить инфраструктуру заказчика. Например, использование устаревшего программного обеспечения в 67 процентах банков может позволить нарушить периметр, но на самом деле использование этих уязвимостей может привести к отказу в обслуживании.

Внешний периметр сети также демонстрирует недостатки, связанные с безопасностью сети. Наиболее опасными являются интерфейсы удаленного доступа и управления, к которым часто может легко получить доступ любой внешний пользователь. Среди наиболее распространенных — протоколы SSH и Telnet, которые встречаются по периметру сети у 58% банков, а также протоколы доступа к файловым серверам, присутствующие у 42% банков.

Как уже отмечалось, большинство банков имеют достаточно защищенный периметр сети, но сотрудники, как правило, являются самым слабым звеном в позиции безопасности любой организации.

В ходе тестирования осведомленности сотрудников о безопасности, 75% сотрудников банков нажимали на ссылку в фишинговом сообщении; 25% сотрудников вводили свои учетные данные в поддельной форме аутентификации, а 25%, или по крайней мере один сотрудник запускал вредоносное вложение на своем рабочем компьютере. В среднем около 8 процентов пользователей банка переходили по фишинговой ссылке, 2 процента запускали вредоносный файл и менее 1 процента пользователей вводили свои учетные данные.

Хотя осведомленность о безопасности среди банковских служащих все еще выше, чем в других отраслях, требуется только один смущенный или обеспокоенный пользователь, чтобы непреднамеренно предоставить доступ к корпоративной сети злоумышленнику. Результаты нашего тестирования показывают, что три четверти банков уязвимы для атак социальной инженерии, которые использовались для нарушения периметра практически каждой преступной группировкой, включая Cobalt, Lazarus и Carbanak.

ВНУТРЕННЯЯ ИНФРАСТРУКТУРА

У 100% банков получен полный контроль над инфраструктурой

В то время как банки сосредоточены на защите периметра сети, внутренняя безопасность сети далека от совершенства. Их внутренние сети страдают от тех же проблем, что и у других компаний. Полный контроль над инфраструктурой был получен во всех проверенных банках. При этом в 33 процентах банков злоумышленникам даже не нужно иметь максимальных привилегий для получения доступа к хостам, контролирующим банкоматы, системы межбанковского перевода и обработки карт, а также платежные шлюзы.

Какие недостатки безопасности позволяют преступникам проводить свои атаки вглубь банковской инфраструктуры? На следующей диаграмме показана частота уязвимостей, используемых для получения полного контроля над инфраструктурой домена во время внутреннего тестирования на проникновение. Проценты — это процент протестированных систем, содержащих данную уязвимость.

Типичные векторы атаки проистекают из двух основных недостатков — слабой политики паролей и недостаточной защиты от восстановления паролей из памяти ОС.

Хотя словарные пароли используются на периметре сети в 50 процентах банков, каждая система страдает от слабой политики паролей во внутренней сети. В этом плане банки похожи практически на любую другую отрасль. Примерно в половине систем слабые пароли устанавливаются пользователями. Однако мы все чаще сталкиваемся с учетными записями по умолчанию (с предсказуемыми паролями), оставленными администраторами после установки систем управления базами данных, веб-серверов или операционных систем или создания корпоративных учетных записей. Очень часто приложения либо имеют чрезмерные привилегии, либо содержат известные уязвимости. В результате злоумышленники имеют возможность получить административные права всего за один-два шага.

Четверть банков использовали пароль «P@ssw0rd», а также такие распространенные комбинации, как» Qwerty123″, пустые пароли и пароли по умолчанию (например,» sa «или»postgres»).

На этапе распространения и закрепления в сети действия злоумышленников весьма схожи. Исходя из вышеизложенных результатов, можно смело предположить, что любая преступная группа сможет получить полный контроль над доменной инфраструктурой в каждом из проверенных банков. Поэтому, хотя банки достаточно хорошо защищены от внешнего мира, злоумышленники, вероятно, преуспеют в нападении на банковские системы, если они получат доступ к внутренней сети. Такой доступ может быть получен различными способами: например, сообщник может получить работу в банке в качестве сотрудника с минимальными сетевыми привилегиями или просто физический доступ к сети (например, дворник или охранник).

ПОДИТОГ

Сегодня банки построили эффективные барьеры для защиты от внешних атак, но они не сделали почти столько же работы по борьбе с угрозами в своих внутренних сетях. Зная это, злоумышленники могут легко обойти периметр сети простым и эффективным способом: фишинг доставляет вредоносные программы в корпоративную сеть с помощью невнимательных сотрудников. Преступники тщательно следят за публикацией новых уязвимостей и быстро модифицируют свои инструменты, чтобы воспользоваться ими. Внутри сети целевого банка злоумышленники могут свободно перемещаться, используя известные уязвимости и стандартное программное обеспечение, оставаясь незамеченными администраторами. Воспользовавшись недостатками корпоративной сетевой безопасности, злоумышленники в короткие сроки получают полный контроль над инфраструктурой банка.

Главное помнить, что предотвращение потерь возможно на любом этапе при условии принятия соответствующих защитных мер. Вложения электронной почты следует проверять в изолированной среде (песочнице), а не полагаться исключительно на антивирусные решения конечных точек. Очень важно настроить уведомления от систем защиты и реагировать на них немедленно. Именно поэтому события безопасности должны отслеживаться внутренним или внешним центром операций безопасности (SOC) с использованием решений для управления информацией и событиями безопасности (SIEM), которые значительно облегчают и улучшают обработку событий информационной безопасности. Киберпреступность продолжает развиваться и быстро прогрессировать, что делает крайне важным, чтобы вместо сокрытия инцидентов банки объединяли свои знания, обмениваясь информацией о отраслевых атаках, узнавая больше о соответствующих показателях компромисса и помогая распространять информацию по всей отрасли.

ТЕНДЕНЦИИ И ВЫВОДЫ

Сегодня мы можем наблюдать, что в даркнете почти любой желающий может купить не только наркотики. Но так ли это плохо, как может показаться? Возможно, такой безконтрольный рынок отражает тень нашего мироустройства, банковской, всей финансовой и политической системы. Значит, наша жизнь должна притерпеть какие-то изменения и только в лучшую сторону, которые конечно же не хотят допустить те, кто сейчас находится на верхушках власти.

Одной из возможных предпосылок к изменению финансового мироустройства, могут стать блокчейн-технологии и криптовалюты. Вы можете заметить, как негативно к этому относятся многие правительства и как они хотят добиться контроля и над этой системой. Не успели они еще в полной мере этого сделать, как громадная корпорация Facebook объявила о планах запуска новой глобальной своей системы на основе блокчейна; и тут же многие властные структуры всполошились.

Важно помнить, что воруют люди не от хорошей жизни и не от нее же думают об этом. Воровство имело место во все века существования человечества, а сейчас мы видим, как оно только лишь принимает современные формы. Данное исследование пожалуй, можно закончить цитатой В. В. Путина, которая в том числе относится как к хакерам, так и к сотрудникам ИТ-безопасности: «Над принятием законов думают тысячи людей, а над тем как их обойти – миллионы».

Автор: Dmitry Gradov

Источник: конкурсная статья NewsPrice

Подробнее о конкурсе: конкурс NewsPrice