Фото: Максим Богодвид / Sputnik / Scanpix
истории

Как хакеры изменили курс доллара. Коротко Атака на Энергобанк: месть бывшего сотрудника или глобальная уязвимость?

Источник: Meduza

В феврале 2015 года хакеры атаковали казанский Энергобанк. Им удалось получить доступ к компьютеру, с которого можно было проводить сделки на Московской бирже. Вмешательство хакеров в ход торгов привело к сильному колебанию курса. Цена на доллар в течение нескольких минут скакала с 55 до 65 рублей, хотя до атаки доллар спокойно торговался на отметке в 62 рубля. В Центробанке считают, что атаку организовал бывший сотрудник банка. Специалисты по безопасности уверяют, что все куда серьезнее. «Медуза» рассказывает про то, как хакерам удалось изменить курс доллара. 


Про хакерскую атаку стало известно только через год. В начале февраля 2016 года о ней рассказала компания Group-IB, которая занимается сетевой безопасностью. До этого в банке говорили, что это была хакерская атака, но им никто не верил. Как выяснили специалисты из Group-IB, в компьютерной системе Энергобанка была обнаружена программа Corkow, также известная как Metel. В отчете Group-IB говорится, что вирус был внедрен еще в сентябре 2014 года, но до декабря никак себя не проявлял. В декабре включился кейлоггер — программа, которая записывает нажатия клавиш и передает злоумышленникам (так воруют пароли). 

Атака на Энергобанк 27 февраля 2015 года длилась всего 14 минут. В 12:30 хакеры получили удаленное управление над системой. В 12:32 они начали размещать заявки на бирже. Всего было размещено пять заявок на покупку 437 миллионов долларов и две заявки на продажу 97 миллионов. Заявки не были исполнены полностью. Продать удалось почти 160 миллионов долларов, купить — 93 миллиона. В 12:44 хакеры дали программе команду на вывод компьютера из строя. Как отмечает Group-IB, скорее всего, хакеры не преследовали цели заработка, а просто тестировали программу для будущих атак. Энергобанк из-за действий злоумышленников потерял 243 миллиона рублей. 

Обратите внимание на самую длинную свечу. Она показывает самую высокую и самую низкую цену на отдельном отрезке торгов

Фото: group-ib.ru

Программа Corkow известна специалистам по безопасности с 2014 года. По оценке Group-IB, на начало 2015 года ею были заражены около 250 тысяч компьютеров (не все они находятся в финансовых организациях). Вирус проникает через зараженные сайты, которые выглядят как добросовестные (владельцы могут не знать о заражении). В отчете приводится неполный список зараженных сайтов. Их общая посещаемость составляет 800 тысяч пользователей в сутки. Попадая в сеть, вирус регулярно обновляется, чтобы его не заметил антивирус. В банках, где выявляли Corkow, были установлены современные антивирусные программы. Наибольшее число заражений зафиксировано в России и на Украине, но в последнее время вирус все чаще находят в США. 

В августе 2015 года произошла другая атака с использованием Corkow. Хакеры атаковали расчетную систему (ее название неизвестно) и сняли с банкоматов одного из ее участников несколько сотен миллионов рублей. 

В Центробанке, который сначала вообще не верил в версию про хакеров, уверяют, что взлом Энергобанка был местью уволенного сотрудника. Ни имени подозреваемого, ни сведений о том, какую позицию он занимал, в ЦБ не сказали. Расследование уголовного дела по статье 272 УК («Неправомерный доступ к компьютерной информации») ведется в Татарстане. 

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.