Эксперт сомневается, что хакеры, ограбившие банк на 500 млн рублей, будут пойманы

Если хакеры хотят атаковать банк, они, как правило, используют удаленный доступ. Об этом рассказал «Свободной прессе» специалист по информационной, компьютерной и сетевой безопасности Сергей Вакулин. «Грубо говоря, сотруднику банка хакеры отправляют „картинку с котиком“, тот кликает на нее, и на рабочем компьютере устанавливается вредоносная программа. Таких примеров немало. Но в данном случае, когда все связано с ключами, транзакциями и доменными именами — такого даже не припомню», — комментирует он отчет Group-IB.

Ранее компания по обеспечению кибербезопасности Group-IB сообщила, что в феврале текущего года злоумышленники совершили хакерскую атаку против одного из не очень крупных банков и, заполучив доступ к системе межбанковских переводов АРМ КБР [автоматизированное рабочее место клиента Банка России], похитили с его счетом более 500 миллионов рублей. Аналитики связывают взлом с деятельностью группы MoneyTaker, причастной к подобным атакам, совершенным прежде.

По признанию Сергея Вакулина, о подобных методах взлома ему слышать не доводилось: «Я предполагаю, здесь есть три варианта. Первый — это открытость директории, и оттуда, возможно, была выкачана информация, касаемо ключей. Кроме того, там была подделка доменных имен. Впрочем, хочу сразу отметить, что такая практика хакеров маловероятна. Другой вариант — это уязвимость. Банки, как правило, отключают поддержку GS, но, как правило, после выхода обновлений, все вручную переустанавливают. Однако и этот вариант, хотя он и может иметь место, мне кажется не очень вероятным».

Наиболее вероятным вариантом, по мнению эксперта, является то, что за успешной хакерской атакой стоит инсайдер — человек, который работает, или некогда работал в данной финансовой организации и имеет информацию по ключу для выполнения транзакций: «Инсайдер мог сообщить данные хакерской группировке, либо он также мог быть задействован в этой группировке».

«То, что хакерам удалось завладеть ключами, является большой ошибкой работников банка. Естественно, что сейчас там будут проводить внутреннее расследование — как и что именно могло произойти, и как у членов хакерской группировки могли оказаться ключи. Но я сомневаюсь, что удастся найти концы. Дело в том, что хакеры не любят „светиться“, и при переводе денежных средств обычную валюту — рубли, доллары, евро и так далее — не используют. В таких случаях, как правило, что в белом сегменте интернета, что в черном, используется криптовалюта. А в таком случае, даже если вы знаете конкретный кошелек, вы никогда не узнаете имя владельца», — предупреждает Сергей Вакулин.