Стало известно, как хакеры украли почти два миллиарда из банков РФ

2 августа 2016 208
Выяснен путь заражения банковским вирусом Lurk

Стали известны подробности расследования резонансного уголовного дела преступного сообщества хакеров из 15 регионов России, которые с помощью троянской программы Lurk за пять лет похитили со счетов клиентов российских банков более 1,7 млрд руб. Эксперты по компьютерной безопасности выяснили, что мошенничеству способствовало использование системными администраторами пострадавших компаний зараженных программ для работы по удаленному доступу.

По сведениям "Ъ", следователи следственного департамента МВД РФ установили возможные методы получения хакерами доступа к компьютерам пострадавших банков. Напомним, в июне МВД РФ совместно с ФСБ РФ заявило о задержании порядка 50 хакеров из 15 регионов России, которые похитили 1,7 млрд руб. из российских банков и пытались вывести еще около 2,2 млрд руб. В частности, от действий хакеров пострадали московские Металлинвестбанк и банк "Гарант-инвест", якутский банк "Таата", которые подверглись атакам троянской программы Lurk. Именно разработкой данного вируса, по версии следствия, занимались хакеры, основными членами и лидерами которых были жители Свердловской области. 14 из них во главе с предполагаемыми лидерами сообщества Константином Козловским и Александром Ереминым были задержаны в Екатеринбурге и доставлены в Москву.

По версии следствия, они внедряли троянскую программу Lurk через средства удаленного управления компьютерами Ammyy Admin. Как следует из специального отчета "Лаборатории Касперского" (компания совместно со специалистами Сбербанка оказывала экспертную поддержку следственным органам по данному делу), было два основных пути распространения вируса: использование эксплойт-паков и взломанных сайтов. Первый вариант заключался в распространении через профильные сайты — бухгалтерские форумы и специализированные новостные сайты скрытых ссылок на файлы с вирусом. Второй путь заключался в использовании взломанных сайтов, в частности, крупной компании Ammyy (на ее сайте в качестве клиентов указаны МВД РФ, "Почта России", система правовой информации "Гарант").

"Как оказалось, размещенный на официальном сайте установщик программы Ammyy Admin не имел цифровой подписи и представлял собой троянец-дроппер. После его запуска во временном каталоге создавались и запускались на исполнение два файла: установщик утилиты и вредоносная программа-шпион Trojan-Spy.Win32.Lurk. Кроме того, злоумышленники модифицировали php-скрипт на веб-сервере Ammyy Group таким образом, чтобы при попытке скачать программу администрирования вирус проверял, является ли заражаемый компьютер частью корпоративной сети и если да, то запускал помимо собственно самой утилиты и вредоносную программу Lurk. Это свидетельствует о том, что злоумышленники охотились именно за корпоративными рабочими станциями и серверами",— отмечается в отчете экспертов. По их мнению, запускать вирус могли сами системные администраторы потерпевших компаний, использовавшие зараженный софт для удаленной помощи своим клиентам. "Примечательно, что 1 июня содержимое дроппера изменилось — вместо Lurk, об аресте создателей которого было объявлено в тот же день, с сайта начала распространяться вредоносная программа Trojan-PSW.Win32.Fareit, также предназначенная для кражи персональной информации. Это позволяет предположить, что злоумышленники, стоящие за взломом сайта Ammyy Admin, за определенную плату предлагают всем желающим "место" в трояне-дроппере для распространения с ammyy.com",— отмечается в отчете "Лаборатории Касперского".

В МВД РФ пока ход расследования не комментируют.

Участники уральского банковского рынка отмечают, что избежать подобных инцидентов можно только с помощью строгого контроля использования постороннего программного обеспечения. "В своей деятельности программы удаленного администрирования мы не используем. Это запрещено и строго контролируется. А любые готовые программные продукты проходят комплексную проверку безопасности, которая позволяет исключить наличие скрытых кодов",— отметили в пресс-службе Уральского банка Сбербанка РФ. А начальник управления безопасности информационных систем Уральского банка реконструкции и развития (УБРиР) Александр Падерин пояснил "Ъ", что УБРиР использует программные продукты для удаленного подключения к рабочим компьютерам только в рамках своей корпоративной сети для оказания технической поддержки. "Такие программные решения, как Ammyy Admin, предполагают использование внешних по отношению к банку центров управления рабочими станциями. Подобные решения в банке запрещены",— отметил он.

Источник: "Коммерсант"

Анонсы будущих номеров

    Стать подписчиком


    Ваша персональная подборка

      Подписка на новости

      Чтобы не пропустить ни одной важной или интересной новости, подпишитесь на рассылку. Это бесплатно. Мы будем держать вас в курсе всех новостей и событий.

      Академия юриста компании


      Самое выгодное предложение

      Смотрите полезные юридические видеолекции

      Смотреть видеолекции

      Cтать постоян­ным читателем журнала!

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией


      Рассылка




      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Уголовный процесс» –
      практика успешной защиты и обвинения

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Уголовный процесс».

      
      • Мы в соцсетях

      Входите! Открыто!
      Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Только для зарегистрированных пользователей

      Всего минута на регистрацию и документы у вас в руках!

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×

      Подпишитесь на рассылку. Это бесплатно.

      В рассылках мы вовремя предупредим об акции, расскажем о новостях в уголовном праве и процессе и изменениях в законодательстве.